Illustration: Lene Sekjær.

Nordea lukker 10 år gammelt sikkerhedshul i netbanken: Derfor har det taget så lang tid

Et sikkerhedshul hos Nordea har 10 års jubilæum. Det har en Computerworld-læser opdaget. Læs her, om du også kan være ramt af det 10 år gamle sikkerhedshul.

Computerworld-læseren Ole Høvids Møller har i et årti haft et horn i siden på storbanken Nordea.

Hornet stammer fra en sikkerhedsbrist på bankens hjemmeside. 

Allerede tilbage i 2009 henvendte han sig til Computerworld angående sikkerhedsbristen, som vedrører, hvordan man som erhvervskunde logger ind på sin konto i bankens netbank.

Det kan du læse mere om her: Nordea lever med sikkerhedshul på tredje år

For nyligt konstaterede Ole Høvids Møller så, at sikkerhedshullet stadig står pivåbent, da han ikke benytter NemID for virksomheder, når han logger på sine fire virksomhedskonti i banken.

"Det har jo været valgfrit for virksomheder at gå på NemID, og det har jeg så ikke fået gjort af forskellige årsager. Men denne sikkerhedsbrist er godt nok bekymrende, så jeg bør nok få skiftet over til NemID," fortæller Ole Høvids Møller fra sin egen it-konsulentvirksomhed Ohm IT til Computerworld.

Derfor er der hul
Det 10 år gamle sikkerhedshul hos Nordea er ikke aktuelt for folk, der benytter NemID.

For hullet skyldes den gamle login-model med lokalt installerede nøglefiler på brugerens computer.

Når en bruger indtaster brugernavn og password via den login-metode, vil netbanken søge efter nøglefilen på computerens C-drev. Hvis brugernavn og password stemmer overens med nøglefilen, vil vedkommende være logget ind i netbanken.

Tager man en kopi af nøglefilen og giver til sin bogholder eller revisor, vil bogholderen og revisoren også kunne logge ind med ens brugernavn og password, såfremt han/hun har installeret nøglefils-kopien på sin lokale maskine.

"Hvis jeg nu bliver uvenner med min bogholder, har jeg dog et problem," siger Ole Høvids Møller.

Og det kan han have ret i. For ændrer han sit password på sin egen maskine i troen på at holde bogholderen ude fra netbanken, tager han fejl.

Nyt password og gammel nøgle
Fejlen skyldes, at passwordet kun bliver overskrevet på Ole Høvids Møllers lokale maskine tilknyttet hans egen nøglefil.

På bogholderens maskine vil nøglefils-kopien stadig skulle bruge det gamle brugernavn og password for at virke, da en ændring af password på én maskine ikke vil have indflydelse på password-ændringer på andre maskiner med lokalt installerede nøglefiler.

Dermed vil bogholderen med en kopi af en nøglefil altid have adgang til Ole Høvids Møllers konti og penge, lige meget hvor tosset Ole Høvids Møller skifter password på sin lokale maskine.

"Så hvis du har nøglefilen installeret på otte forskellige maskiner, kunne man i praksis have otte forskellige passwords på de maskiner. Det virker yderst besynderligt," siger Ole Høvids Møller om login-mystikken.

Nordea opmærksom på problemet
Hos Nordea fortæller senior pressekonsulent Laurits Harmer Lassen, at banken kender til problemstillingen, som der nu bliver gjort noget ved.

"Der er tale om et meget lille antal kunder, der benytter ældre login-metoder. Og vi har fokus på at reducere antallet yderligere og få alle kunder over på NemID," lyder det fra Nordea.

Men det ændrer jo ikke meget ved, at der er folk som Ole Høvids Møller, der i dag står med det reelle sikkerhedsproblem, når alle med deres nøglefil kan få adgang til formuen.

Hertil svarer Nordea, at banken er opmærksom på problemet og er i fuld gang med at løse det.

"Vi har startet en proces, hvor vi får de sidste erhvervskunder migreret til NemID. Af forskellige årsager har et mindre antal erhvervskunder oplevet udfordringer forbundet med migreringen."

"Vi anerkender, at det ikke er tilfredsstillende, men vi er som sagt i gang med at løse problemet," skriver Laurits Harmer Lassen til Computerworld.

Han forklarer, at processen med overflytning fra den gamle login-løsning til NemID til erhvervsdrivende gradvist sker i løbet af i år og til næste år. 

Læs også: 

Her kan den danske stat lære noget: Sådan skifter Nordea it-platform til 7,5 milliarder kroner

Sådan skifter bank it-platform: "En tjekliste er altid utilstrækkelig, for du har altid glemt noget"




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
ED A/S
Salg af hard- og software.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Digital HowTo: Fremtidens It service management - optimer dit setup med de nyeste teknologier

Det er vigtigere end nogensinde at have styr på kerneopgaverne i virksomhedens it-drift. Fra monitorering af systemerne til udrulning af applikationer, håndtering af service desken og alle udfordringerne med it-sikkerheden. Kom og bliv klogere på mulighederne for automatisering og optimering med ITSM og den nyeste robotteknologi.

30. september 2020 | Læs mere


Giv dit salg og kundeservice et løft med Dynamics 365

Microsoft har sat turbo på udviklingen af Dynamics 365, som er stærkere, mere omfattende og mere fleksibel end nogensinde før. Resultatet er et hav af nye muligheder. Både for dig, som allerede bruger dele af Dynamics' ERP-funktionalitet, og for dig som vil høste fordelene af alle de andre smarte funktioner, Dynamics 365-platformen byder på.

06. oktober 2020 | Læs mere


Netværkssikkerhed - teknologi og værktøjer til at skabe sikre netværk

Netværket er din virksomheds livsnerve: Den ofte oversete teknologi, der sikrer, at interne og eksterne medarbejdere, leverandører eller kunder har adgang til netop den information der holder driften kørende.

07. oktober 2020 | Læs mere






Premium
Nvidia RTX 3080 til test: Her sættes en ny standard – og trods prisen er det på mange måder et stærkt køb
Der er ikke nogen tvivl om, at der er krummer i Nvidias nye high-end grafikkort. Det ligner endda et særdeles godt køb trods den høje pris.
Computerworld
Ups!: Gammelt fjernsyn lagde internetforbindelsen ned i hel landsby i halvandet år
I halvandet år var en hel landsby i Wales plaget af elendig bredbåndsforbindelse, som begyndte hver dag klokken syv om morgenen. Teknikere kæmpede med at løse mysteriet, men lige meget hjalp det. Årsagen viste sig at være et brugt tv, som en af byens familier havde taget i brug.
CIO
Torben Fabrin og Arla måtte på få dage omstille hele deres produktion da coronaen ramte
Da coronaen ramte verden måtte mejerigiganten Arla på få dage omstille sin produktion. Samtidig voksede salget massivt til supermarkeder mens institutioner og restauranter gik næsten i stå. Hør hvordan Arla kom gennem krisen ved blandt andet være klar med realtime analytics.
Job & Karriere
På jagt efter et it-job i Jylland? Her er 10 stillinger fra Aabenraa til Aalborg, der ledige netop nu
Vi har fundet en række spændende stillinger til dig, der jagter et it-job. Her kan du vælge og vrage mellem ledige stillinger lige fra Aabenraa til Aalborg.
White paper
Vil du med på vej mod den moderne dataestate?
At gøre data tilgængelig, men hurtigst og med de færreste ressourcer, er de første og nødvendige skridt mod en moderne dataestate. Tiden er inde til, at du bevæger dig ned af den digitale landevej, der fører til hurtige og konsistente svar på simple forretningsspørgsmål. Vi giver her et bud på, hvordan du kommer igang.