DI: Nordnet har stängt sina tjänster – misstänkt säkerhetsproblem

Övrigt Nyheter och omvärldsbevakning
129

Nordnet har uppenbarligen utsatt sina kunder för stor risk men hur kan man som kund veta att inte potentiellt samma/liknande risker finns hos andra aktörer :thinking:
Har RT- forumet någon med direkt insyn, inte bara tekniska ” experter” i allmänhet som vet?

130

Svaret är förstås att samma sak kan hända hos alla. Däremot kan riskerna se olika ut på flera punkter:

  1. Hos storbanker kan pengar skickas ut från ditt konto men hos nischaktörer kan pengar bara skickas till ditt konto hos annan bank.

  2. Detta fel upptäcktes när kunder ringde in och berättade om detta. Storbanker har ofta en usel kundsupport via telefon så att komma fram där kan ta tid och den som svarar har kanske inte kompetens att avgöra att det är på allvar.

  3. Att stödja BankID som alla svenska banker gör är i grunden säkert men det öppnar en del nya säkerhetsproblem och single point of failure också. När du loggar in med användarnamn så är det extremt osannolikt att du inte kommer in på rätt konto men risken är högre med identifiering med EID.

  4. Säkerhetstänket varierar hos olika aktörer. Jag har t.ex. börjat använda IBRK och de har mycket högt säkerhetstänk med övervakning av varifrån du brukar logga in t.ex. Alla aktörer har inte samma nivå av säkerhetstänk.

  5. Även QA är förstås viktigt, att ha seriös testning speciellt vid prodsättning av så här känslig kod.

  6. Kategorin av kunder kan möjligen spela viss roll också. Den typiske investeraren ringer direkt in till Nordnet eller Avanza när detta händer. En hårt skuldsatt eller kriminell person är förmodligen inte kund hos dessa men sådana finns hos storbanker och de försöker kanske istället utnyttja situationen. Om storbanken är långsam på att stänga ned efter en sådan här händelse kan det hinna ske saker.

Så i grunden kan det hända hos alla men riskerna ser olika ut och det skiljer också hur snabbt de kommer agera när kunder försöker informera om det. Jag skulle alltså säga att det är säkrare att ha sitt kapital hos nischbanker än hos storbanker.

4 gillningar
131

Jag kommer lämna nordnet iaf.

2 gillningar
132

IMG_4032
IMG_40321206×1948 332 KB

134

Vad har dom vidtagit för åtgärder att det inte ska hända igen? Mer transparens hade varit uppskattat.

1 gillning
135

Fortfarande samma mörkning:

Händelsen resulterade i att ett begränsat antal kunder möttes av felaktig kontoinformation när de loggade in på sitt Nordnetkonto.

Först när man klickar vidare medger de den verkliga omfattningen men ingen detaljerad info om vad som gått fel, varför det inte upptäcktes i test, hur de säkerställt att det inte ska inträffa igen.

Behöver minst vara tydlig mot kunderna att banksekretessen brutits och att obehöriga kan ha full information kundernas kundrelation och innehav.

1 gillning
136

Om någon har haft tillgång till mitt konto, gjort swingtrades med hävstång och fått 1000x pengarna (en miljard då jag kanske har en miljon). Får man behålla dom då?

Om det gjorts en piljard i förlust (då säkerhetsspärrar inte funkat pga. av mera buggar i buggen)?

137

Den första frågan på det är om de med säkerhet kan styrka vilka som drabbats och vilka som inte gjort det. De har förstås loggar med IP-adresser och annan information men jag blir inte övertygad om att de är 100 på vilka som har drabbats även om de påstår det.

138

haha, ja har man gjort en del dåliga trades under den tiden kanske man har fått sig ett get out of jail free card? :smiley:

3 gillningar
139

Vad är ditt resonemang för att påstå att det är mindre risk att få fel konto med användarnamn?

140

Nordnet och många andra siter är byggda med enbart användarnamn + lösen som inloggningsmetod, långt innan BankID ens fanns. Hela ditt konto är därför kopplat till ditt användarnamn, det är ditt konto. När du alltså loggar in med som “axr” kan du inte hamna fel, du kommer in till kontot “axr”.

Senare implementerades BankID, och efter en lyckad identifiering av dig med BankID kommer banken få ditt personnummer som en bekräftelse på att du har fullgjort en lyckad identifiering. Banken vet alltså med säkerhet vem som har identifierat sig. Nästa steg blir då att hitta rätt konto utifrån detta personnummer, och det gör man genom en uppslagning i DB. Typ, vem har personnummer YYYYMMDD-XXXX, jo det är användaren “axr”. Ja men då skapar vi en inloggad session med full access till kontot “axr”.

Den känsliga punkten här blir alltså att det inte får gå fel när man slår upp vilket konto som är kopplat till ett personnummer.

Tänk nu istället om alla siter hade tvingat alla att få sitt personnummer som användarnamn, eller åtminstone som konto-identifierare. Då hade man inte behövt denna DB-slagning för att koppla personnumret som BankID ger ifrån sig till rätt konto.

Pga detta är jag rätt överygad om att det endast är personer som loggat in med EID som kommit in på fel konto. Risken att någon felaktigt kommer in på ditt konto kan du däremot inte minimera genom att du själv väljer att logga in med användarnamn. Men om du hade kunnat stänga av BankID-inloggning för ditt konto skulle du kunnat ta bort denna risk. Nu kommer snart däremot det motsatta ske, man kommer bara kunna använda BankID.

141

Men varför är det svårare att göra select på personnummer än på användarnamn? Det är bara olika sekundärnycklar som leder till samma rad i databasen?

1 gillning
142

En relevant invändning förstås och om siterna hade skapats idag så skulle jag säga att det är samma problematik. Men för 30 år sedan användes inte personnummer som nyckel i tabellerna och det gör man inte en massiv ändring av bara för nymodigheter som BankID.

Tänk också på hur man blev kund innan BankID. Jag printade ut en pdf, fyllde i den för hand och skickade in detta fysiska papper. Sedan tog personal emot massor av sådana ansökningar och skapade upp konton för dessa personer. Det systemet vet med säkerhet efter detta är det som systemet skapar, användarnamn och olika IDn. Inte det som fylldes i på blanketten, typ personnummer.

143

Nu har jag inte Nordnet, men jag tänker att något liknande kunde ha hänt Avanza. Jag drar inte alls samma slutsatser. Som de allra flesta IT-problem är detta något temporärt. Jag har inget behov av att handla med värdepapper varje timme, varje dag, eller ens varje vecka.

1 gillning
144

Det stämmer i regel för mig också, att det inte går att logga in under några timmar är inte så stort problem. Men värre är om banksekretessen bryts så att andra får se alla mina innehav, då kan man bli måltavla för utpressning.

Också jobbigt om man inte blir trodd när man klagar på felaktiga transaktioner eller ännu värre att man inte ens upptäcker det eftersom man inte håller på och pillar, man kanske inte ens kollar varje år. Då är man nog körd om man väl upptäcker det senare.

Tänk om en gammal man som lämnat ut sitt lösen till sina barn hade råkat ut för följande, det är ett helt extremt uselt bemötande:

Oscar framträder i SvD och han fick besked från Nordnet (börskurs) redan i måndags om att aktieförsäljningar för över 50 000 kronor hade skett från hans konto.

“Attityden att det nästan var mitt fel”

“Men där var attityden nästan att det var mitt fel. Kundtjänst antydde att det kunde ha varit jag som hade varit slarvig med mitt lösenord. De menade att det var uteslutet att de hade något med läckan att göra”, berättar han i Svenska Dagbladet.

145

Min broker Scalable Capital har haft mycket problem,

  • För några år sedan så läcktes email, personuppgifter och i vissa fall passkopior pga av en internläcka. Jag fick ett års abonemang på en IDkontroll/kreditövervakning tjänst i kompensation.
  • Helt plötsligt får jag ett email att mina personuppgifter ändrats och om jag inte gjort det själv måste jag kontakta dom. Kunde inte logga in på kontot så jag ringer upp och kontot spärras och de bekräftar att det har inte varit någon aktivitet på kontot de senaste dagarna. Är utelåst bra många dagar och försöker få klarhet i vad som hänt och jag listar själv ut att inloggningsemailen återställts till min gamla email som jag bytt från några månader tidigare.
  • För ett tag sedan loggade jag in och ser saldot på cashkontot var väldigt mycket lägre än vad det skulle vara. Inga transaktioner. Kundtjänst svarar bara att det är ett visningsfel och pengarna finns på kontot men jag kan inte handla för mer än vad som visas(!!!).

Gillar Scalable men det börjar bli på gränsen att jag måste byta. Frågan är bara, är Kolera bättre än Pest? Vad byter jag till?

146

Byt till IBRK, det håller jag på med nu och de är mycket bra. Extremt låga avgifter och en av världens största aktörer.

147

Att ha en oseriös aktör är inte det jag förespråkar. Byt till någon med vettigt track record?

148

Stöder de deklaration för landet man bor i, räknar ut och visar uppgifter på lokalt språk?

Skulle inte kalla de oseriös. Snarare växtvärk då de började som Robot, öppnade nätmäklare och nu senast startat EIX (deras egna nätbörs) som svar på förbudet mot payment for orderflow.

149

De stöder inte svenska så jag kör på engelska. Deklarerar gör jag inte så det har jag inte undersökt men man kan skapa ett gäng olika rapporter.

Kan till en början kännas lite svårt att tränga in i kanske och jag har flera gånger fått bra svar från ChatGPT när jag har frågat om hur man gör saker på IBRK. Prova gärna att ställa dina frågor till ChatGPT själv, du kommer i regel få bra och korrekta svar.

Du kan också lätt skapa ett konto utan kostnad, sedan kan du logga in på deras web-portal eller via olika appar. Själv kör jag ofta web-portalen och det är nog bara där du kan ta fram skatterapporter.