Vad jag inte förstår är att folk pekar på insättargarantin som om det vore guds budord inristad på runsten, att absolut inte ha högre belopp 1.050.000 SEK på bankonto därför att går banken under så får man bara ersättning upp till det beloppet.
Men när det kommer till Investerarskyddet så bryr sig inte folk. Men det finns av en anledning, att det kan gå/bli fel, bli tokigt etc. Att det bara gäller till en fjärdedel av insättargarantin (250.000 SEK) gör mig helt dumbfounded. I USA är motsvarande skydd $500.000, mer än 20 gånger så mycket.
Ja hehe så e de ju, men ja undrar vad de ska hjälpa?
2 millar på Nordnet och 2 millar på avanza så man kan fortsätta pilla i sin globalfond medans den enas sajt ligger nere några dagar/timmar?
Jag tror inte du menar som säkerhet ifall hälften av kapitalet skulle gå upp i rök, det ska inte ens vara ett alternativ
”Mer specifikt är den underliggande orsaken till det tekniska problemet en bugg i ett så kallat tredjepartsbibliotek. Det är inte vår egen kod. Komponenten används för att få kommunikation mellan våra tjänster och en databas som lagrar information om vilka kunder som är inloggade”, uppger Nordnets vd. Kommer ni vidta någon sorts åtgärd mot den här tredjeparten?
”Jag skulle säga att det är för tidigt att säga, men vi utreder den här frågan vidare.”
Jag kan översätta till icke utvecklare “Vi använde ett öppen källkods bibliotek helt utan att ersätta eller ge tillbaka till dem. Ett bibliotek som hade kostat enorma summor att bygga internt men som vi nu använder gratis” alternativ förklaringen är “Vi använde/konfigurerade biblioteket fel men det säger vi inte för då måste vi ta ansvar för att vi inte gett utvecklarna tiden de behöver för att förstå och testa vad de gör”
Oj den här förklaringen har jag missat, var kommer den ifrån?
Också märklig förklaring, information om vilka som redan är inloggade kan förstås inte förklara att vissa blev inloggade till fel konto. Den där VDn behöver nog låta någon med IT-kompetens formulera en korrekt förklaring.
QA lär få det hett om öronen också, har de inte gjort tester innan de prodsätter en ny version av en login-komponent? Frågan blir förstås hur ofta gick det fel, borde de upptäckt detta under test?
Läser deras blogg också och där försöker de mörka hur allvarligt felet var. De försöker få kunderna att tro att man bara fick se fel information när det i verkligheten var att man kunde bli inloggad till fel konto med full access. Skärpning, de måste gå ut med korrekt och detaljerad information och det snarast.
Störningen bestod i att det för vissa kunder visades felaktig kontoinformation.
Utan att veta hur koden ser ut, hur de kommunicerar, cachear eller strukturerar sin data så går det att spekulera fram tusentals olika sätt det kan ha gått snett.
Jag känner till ett liknande fall som aldrig gick att återskapa i test. Det var i det fallet något som hände väldigt sällan och visade sig för en liten andel av användarna, men iom att det aldrig gick att ringa in vet de inte varför. I det fallet backades koden och man vågade aldrig gå framåt igen åt det hållet eftersom det inte gick att peka ut vad som var trasigt (men en mängd saker uteslöts i utredningen).
Det kan vara svårt att testa sådant här eftersom man har begränsat antal klienter och begränsade locations i sin testmiljö. Komplexiteten och problemen uppstår med skalan i systemen, med race conditions, latens, fyllda cachear och liknande. Det är svårt att fixa setup för i testsystem, och svårt att komma på alla case som kan vara problematiska och behöver checkas av.
Vi kan ju inte ens säga om detta var något som hände alla/få, om det gick att se i deras test-setup men inget av deras test-case täckte fallet, eller om de täckt fallet men det funkade i deras tester. Vi vet egentligen inte om de testat alls.
Blev det inrapporterat av kund, märkte de själv i test efter produktionssättning, märkte deras övervakningssystem det och larmade?
Det vi med säkerhet kan säga är att VDs förklaring är bullshit, detta är inte en korrekt förklaring:
Komponenten används för att få kommunikation mellan våra tjänster och en databas som lagrar information om vilka kunder som är inloggade.
Om de däremot ger en korrekt förklaring på vad som faktiskt har skett istället för att mörka så kan vi dra en del slutsatser. Min hyfsat välgrundade slutsats är att detta fel endast har inträffat för dem som loggat in med EID, och inte med användarnamn + lösen till.
Det som sker efter EID är att de måste hitta rätt konto utifrån personnumret som EID returnerar. Här är det en DB-uppslagning som ger den mappningen. Dock inte till en DB som har info om vilka som är inloggade som VDn påstod.
Frågan är då hur den SQL som slår upp detta i DB kunde gå fel. Om vi tror på tidigare förklaring är det ett mjukvarufel och inte fel info i DB. Det påstås också att felet inte finns i deras egen kod och det betyder att deras SQL är korrekt. Alltså både korrekt data i DB och korrekt SQL som hämtar datat och ändå gick det fel därefter, men inte i deras egen kod. Det är svårt att få alla dessa påståenden att gå ihop, låter snarare som ett eller flera av dessa påståenden är felaktiga.
Kolla frågor och svar, där säger de att vissa kunder fått access till andra kunders depåer och kunnat göra affärer. Knappast att mörka. De stängde ner allting efter första rapporterna.
Nordnet har agerat som man bör vid en incident. Avanza har agerat liknande tidigare när de haft tekniska bekymmer.
” Var det möjligt att handla på andra kunders konton?
Ja, vi kan konstatera att det var praktiskt möjligt att agera på andra personers konton i det fall man också fick felaktig kontoinformation visad för sig.”
Att en VD inte går in i koddetaljer är ganska normalt. Absoluta majoriteten förstår inte ens förklaringen på VDs nivå, än mindre det exakta felet. Att ett gäng hobbyutvecklare vill veta vilken kodrad som smällde är knappast något man tar hänsyn till. Har du ofta sett att man ger detaljer på den nivån?
Ja de har fått krypa till korset men de började med att mörka och på sin blog jag länkade till sprider de fortfarande desinformation.
Fast min kritik var just detta att han gav felaktig information och att han borde låta en tekniskt kunnig person formulera en förklaring som är korrekt. Om VDn hade avhållit sig från att gå in på en teknisk förklaring då han saknar kompetens hade det varit bättre än att sprida desinformation.
Hur vet du att det är felaktigt? De hade fel på en tredjepartskomponent använd vid inloggning. Nånstans innan databasen. Det räcker som beskrivning för allmänheten. FI får ett mer detaljerad beskrivning av incidenten. Denna beskrivning är nog dock inte klar än, tar tid att går till botten med vad exakt vad som hänt
Felet innebär att man kom rakt in med full access på en annan persons konto, att beskriva det som att det visades fel information kan inte anses vara en korrekt beskrivning.
Förtroendet skadas hårt av en sådan här händelse och då ska man inte mörka och ge felaktiga beskrivningar.
