torstai 15. syyskuuta 2022

Pojat ryöstivät pankin - eikä pankki edes huomannut

S-Pankin tunnistusongelmasta saadut lisätiedot auttavat hahmottamaan tapahtunutta. Pojat olivat huomanneet, että kirjoittamalla verkon kirjautumislomakkeelle satunnaisen asiakasnumeron he pääsivät joko täysin vieraan henkilön tilille tai sitten mitään ei tapahtunut, ja he yrittivät toisella numerolla uudelleen. 

Kirjaimellisesti lapsellisen helppoa. Pojat (no, 16-vuotias päätekijä ja mukana myös vanhempia) olivat sitten siirtäneet rahoja ulos tileiltä, vaihtaneet niitä kryptovaluutoiksi ja käyttäneet makeaan elämään. Yhteensä he ehtivät suorittaa 20.4-5.8.2022 välisenä aikana 53 maksuvälinepetosta (siis luvatonta tilisiirtoa) ja ainakin 150 tietomurtoa (pääsyä toisen tilille, mutta siellä ei ollut tarpeeksi rahaa). Yksi tileistä oli todellinen jackpot - sieltä siirrettiin yli 400 000 euroa.

Käytännössä pojat ryöstivät pankin, saivat 940 000 euron saaliin, eikä pankki huomannut mitään. Käsittämätöntä. Ja samaan aikaan viranomaiset kehottivat kaikkia olemaan varpaillaan Venäjän kyberuhkien vuoksi. Voi pojat, uhka olikin paljon lähempänä. 

Poikien olisi pitänyt tietää, että tällaisesta teosta jää kiinni. Rahojen takaisin periminen voi tosin olla vaikeaa. Onneksi pojat eivät tarjonneet ideaa ammattirikollisille tai ulkomaisille toimijoille, he olisivat voineet rahastaa kunnolla ja pysyä itse tuntemattomina.

Käytännössä S-Pankin virhe mahdollisti vahvan sähköisen tunnistamisen ilman salasanaa. Voi vain kuvitella, miten tällainen virhe oli päässyt syntymään. Koodari kysyy tunnuksen ja salasanan, lähettää salasanan tarkistettavaksi tietokantaan, mutta ei huomioi tietokannan palauttamaa vastausta. Vaikka tietokanta sanoisi "väärä salasana!", koodi jatkaa palveluun käyttäjätunnuksen perusteella.

Virhe ei paljastu testauksessa, koska usein testataan vain sitä, minkä pitäisi toimia - ei sitä, mikä ei saisi toimia. Testaaja on käyttänyt oikeita tunnuksia ja salasanoja, ja kun pääsy on avautunut, hän on kuvitellut kaiken olevan kunnossa. 

Näin alkeellisella virheellä pankkimaailmassa pääsisi Guinnesin Mokailujen Ennätysten kirjaan. Ehkä todellinen selitys on vähän monimutkaisempi, mutta en usko, että paljon.

Pankki sai tiedon asiasta vasta, kun rehellinen valkohattuhakkeri huomasi pääsevänsä sisään väärällä numerolla, ja ilmoitti asiasta. Emme tiedä, oliko joku muukin huomannut asian.

Pankki piiloutuu teknisten selittelyjen taakse, mikä ei ole täysin uskottavaa. Miksei testauksessa huomattu, että väärätkin salasanat toimivat? Miten on mahdollista, että pankilta ryöstetään 940 000 euroa eikä se huomaa, mitä on tekeillä? 

Pankit ovat valvonnan ammattilaisia. Ne valvovat asiakkaiden tilinylityksiä, rahanpesua, luottokortin käyttöä ja -varkauksia, omaa henkilökuntaa... mutta lähes miljoonan menetykset pankki kuittaa vain asiakkaiden omana huolimattomuutena, ja vierittää vastuun heille. 

En tiedä, miten paljon pankilla normaalisti on luvattomia rahansiirtoja neljän kuukauden aikana, mutta miljoonan lisäys kuulostaa silti paljolta. Eikö edes yhdeltä tililtä kadonnutta jättisummaa huomattu?

Paljon kysymyksiä. On ikävä lyödä lyötyä, mutta nähdäkseni kansalaiset ansaitsevat rehellisiä vastauksia. Vain ne voivat palauttaa luottamuksen sähköiseen asiointiin.

36 kommenttia:

Anonyymi kirjoitti...

Oma vinkki selkeä, pankki vaihtoon.

Mitä muita bugeja siellä on?

Rahat turvassa muualla.

Anonyymi kirjoitti...

On vaikea ymmärtää miten pitkään nämä pojanklopit saivat siirrellä rahaa omille tileilleen
ennen kuin asiaan puututtiin. MTV:n mukaan noiden 150 "tyhjän" tilin tietoja on käytetty pikavippien ottoon ja poliisin arvion mukaan rikoshyöty tulee nousemaan pitkälle yli miljoonan euron. Aivan varmasti noista joku/ jotkut tilin omistajista on tuon 4 kk. aikana huomannut että heidän tileiltään on siirretty rahaa heille tuntemattomalle saajalle ja tehnyt myös pankille ilmoituksen siitä. Eikö saajan tilitietojen perusteella vorojen olisi pitänyt jäädä kiikkiin jo heti ensimmäisen reklamaation jälkeen? Miksi tarvittiin valkohattuhakkeri kertomaan pankille että teidät on muuten ryöstetty? Kun vorot ovat tietojen perusteella härvänneet rahat luksus-elämään niin taitaa tulla S-pankille kalliit oppirahat tietoturva-asioiden ylläpidosta.

MadMax kirjoitti...

Uutisissa mainittiin, että S-Pankki on ilmoittanut olleensa yhteydessä asiakkaisiin, joita asia koskee. Eli pankki tietää, kenen kaikkien tunnuksia on väärinkäytetty. Tarkoittaa siis, että jostain lokitiedoista on havaittavissa, mitkä kirjautumiset ovat virheellisiä. Eli ongelma pitäisi olla ollut hvaittavissa jo ajat sitten. Tai toinen vaihtoehto: jos pankki selittää, että eivät voineet aiemmin tätä havaita, niin silloinhan asia ei ole nähtävissä lokeista, missä tapauksessa pankki ei voi tietää, ketä kaikkia asia koskee, toisin kuin väittävät. Eli pankki syyllistyy joko törkeään huolimattomuuteen tai valehteluun. Kumman valitsevat? Tämä saa S-Pankin näyttämään siltä, miltä se jo valmiiksi kuulostaa. Voiko kuka vaan tunari perustaa pankin ja tehdä jotain omia ohjelmiaan pankkikäyttöön ilman, että kukaan viranomainen/riippumaton taho ohjelmistoratkaisuja mitenkään auditoi?

Petteri Järvinen kirjoitti...

Pankki sai kyllä valituksia ryöstetyiltä asiakkailta, mutta katsoi heidän säilyttäneen tunnuksia huolimattomasti ja piti heitä itseään syyllisenä. Pankki karhusi omia saataviaan tämän viikon uutisointiin asti, vaikka oli saanut tiedon ongelmasta jo 5.8.2022. Tässä HS:n uutinen eiliseltä.

Markus kirjoitti...

MadMaxin kertoma on vähän samaa, kuin minäkin tuolla aikaisemmassa artikkelissa yritin kertoa. Tässä on jokin outo klikki.

Kuitenkin, pankin näkökulmasta, jos he oikeasti eivät tiedä tai tieto on häilyvää, ketkä kaikki asiakkaat tämän ryöstön uhriksi on joutunut. Teoreettisesti kuka tahansa voisi mennä väittämään pankille, että minäkin olen uhri. Tätä ne tietysti välttää kuin ruttoa. Pankillahan on silloin velvollisuus jotenkin tässä tilanteessa osoittaa, että se ei ole mahdollista. Mutta se tosiaan tuo sen toisen kysymyksen aina esille. Miten pankki nyt sitten asiat yhtäkkiä niin tarkasti jotenkin tietää, mutta ei kuitenkaan havainnut asiaa pitkänä tapahtuma-aikana valtavan rahasumman osalta. Tapahtumien määräkin on vielä aikamoinen.

Siksi on nähtävissä, että pankki reagoi jyrkällä tavalla "Ei tarvitse meihin päin yhteydessä olla", joka voisi indikoida sitä, että uhrin kannalta asian hoito pankin kanssa tulee edelleenkin olemaan pirun vaikeaa. Siitä huolimatta, vaikka olisikin oikea uhri.

Jyri Väätäinen kirjoitti...

Liityin pankin asiakkaaksi 2018, ja jo 2019 siirsin säästötilin sieltä pois.

Siirsin säästöt siksi, koska S-pankissa oli ihan naurettava nollaa hipova korko. Säästöt on norjalaisessa nettipankissa ja vaikka tuen älytöntä vippaustoimintaa, niin siellä on sentään jokin tasoisia turvatoimia. Esim. rahaa ei voi siirtää kuin ennalta määrätylle tilille. Kirjautuminen vain verkkopankkitunnuksin. Siellä on hyvä säilöä ison satsin rahaa.

S-pankissa pidän vain kuukauden menot S-tilillä, käytännössä joku 581 euroa kk joka riittää vuokraan, laskuihin ja muuhun pakolliseen. Lisäksi tilillä voi olla esim. 120 e säästöosuutta budjeteista. Tuollaiset rahamäärät eivät houkuttele pitkäkyntisiä ja uutta rahaa tulee kerran kk saman verran... En alun alkaenkaan halunnut pitää kaikkia munia samassa korissa.

S-pankkia käytän ilmaisuuden takia, mutta seuraavasta kohusta siirrän nekin pois.

MadMax kirjoitti...

Eräs vaihtoehto tuli vielä mieleen: Jos vika ei olekaan ollut itse kirjautumistapahtumassa, vaan näiden kohteeksi joutuneiden asiakkaiden asetuksissa/profiilissa/whatever siellä pankin järjestelmässä. Eli on jäänyt joku testimoodi tai muu vastaava asetus päälle, ehkä virhe asiakkuutta avatessa tai jotain, ja järjestelmässä ei ole mitään varmistusta tämän varalta? Se voisi selittää useita seikkoja: miksi (väitetysti) koski vain pientä asiakasjoukkoa, miksi (väitetysti) oli mahdollista saada nopeasti selville ketä ongelma koskee, ja miksi (väitetysti) asia oli saatu korjattua "välittömasti". Jos olisi joku mutkikkaampi vika, niin herättää epäilyksiä, jos se olisi muka hyvin nopeasti selvitetty ja saatu mukamas luotettavasti korjattua. Tämä pitäisi nyt kyllä käydä julkisesti läpi koko homma että mitä tarkalleen tapahtui (ja nimetä syylliset ja lähettää Siperiaan). Jos toisaalta valtio tunkee väkisin kaikkia digipalveluiden käyttäjäksi, niin silloin valtion pitää myös varmistaa, että nämä pankkien tunnistuspalvelut, jos niitä kerran on pakko käyttää että voi ylipäätään olla olemassa, ovat pomminvarmoja ja auringontarkkoja. Eli ei tämä nyt ole sillä hyvä että vaan lakaistaan homma maton alle yhden (yleisesti naurunalaisen) pankin toilauksena. Onhan tässä nyt ihan systeeminen riski.

Anonyymi kirjoitti...

Ensi vuonna onneksi nyt viimeinkin tulee valtion ylläpitämä sähköinen tunnistaminen, sekä uusi sähköinen henkilöllisyystodistus. Tärkeämpi asia on tuo tunnistautuminen. Se murentaa pankkien ja puhelinoperaattorien yksinvallan asiassa. Itse olen testikäyttäjä asiassa.

Markus kirjoitti...

Onhan tuossa tietysti käänteinenkin outous. Miten 16-23 vuotiaat on voineet siirrellä lähes miljoonan rahaa tililtä toiselle, ilman että mikään muunkaan pankin hälytyskello ei soinut. Muutoin kyllä nuohotaan muutaman satasen talletuksia ja pyydellään selvityksiä. Luulisi olevan nyt jossain tutkaimessa, jos ennestään persaukisten teinien tilille alkaa kertymään miljoonaa euroa. He on myös voineet käyttää kyseiset rahat ”luxus elämäänsä”, ilman että kukaan olisi asiaan huomiota kiinnittänyt. Luulisi nyt vanhempienkin ihmettelevän, jos teini yhtäkkiä käyttäytyy kuin jokin elastinen-räppäri matkustellen ympäri maailman. Ei tässä pelkän S-pankin tutkaimet ole vinossa olleet. Niitä ollut aika paljon muitakin.

KohtoKohto kirjoitti...

Kuulostaa täysin uskomattomalta tarinalta. Miten tällaista voi hyvänen aika tapahtua.

Käytännössä S-Pankin virhe mahdollisti vahvan sähköisen tunnistamisen ilman salasanaa. Voi vain kuvitella, miten tällainen virhe oli päässyt syntymään. Koodari kysyy tunnuksen ja salasanan, lähettää salasanan tarkistettavaksi tietokantaan, mutta ei huomioi tietokannan palauttamaa vastausta. Vaikka tietokanta sanoisi "väärä salasana!", koodi jatkaa palveluun käyttäjätunnuksen perusteella.

Ihan näin yksinkertaisesti tunnistautuminen ei toimi tai ainakaan sen ei pitäisi toimia. Tunnuksesta ja salasanasta muodostetaan avain, jota verrataan tietokannasta löytyvään avaimeen jne. Mutta jokin on pettänyt pahemman kerran. Veikkaan jonkin tarkastuksen jääneen jossain vaiheessa kokonaan välistä. Virhe voi olla hyvin pieni virhe koodissa, jonka korjaaminen on muutaman sekunnin juttu, kun virheen paikka on löydetty.

Ihmettelen tässä tapauksessa myös sitä, miten pelkällä käyttäjätunnuksella on päästy S-Pankkiin sisälle, koska normaalissakin kirjautumisessa tarvitaan joko mobiiliappis tai sitten vaihtoehtoisesti käyttäjätunnus, salasana ja tunnuslukutaulukko. Onko siis joillain tileillä yksinkertaisesti ollut sellainen tilanne, että pelkällä käyttäjätunnuksella on päässyt tilille sisälle ja käyttäjä voinut toimia siellä vahvasti tunnistautuneena. Ihmeellistä!

Ymmärrän tilanteen herkkyyden tällä hetkellä. Jossain vaiheessa pitäisi kuitenkin huolellisesti käydä läpi, mitä ihmettä S-Pankissa tapahtunut. Ainakin itse kaipaan vielä enemmän konkretiaa.

Anonyymi kirjoitti...

Jos media ei aio asiaa selvittää, niin jollain kansalaisjournalistilla olisi mahdollisuus tehdä se myöhemmin tilaamalla oikeudesta dokumentit, joita ovat ainakin haastehakemus, esitutkintapöytäkirja, oikeudenkäynnin nauhoitteet ja tuomiolauselma.

"Ihmettelen tässä tapauksessa myös sitä, miten pelkällä käyttäjätunnuksella on päästy S-Pankkiin sisälle, koska normaalissakin kirjautumisessa tarvitaan joko mobiiliappis tai sitten vaihtoehtoisesti käyttäjätunnus, salasana ja tunnuslukutaulukko."

EU:n alueellahan pitäisi 2-factor autentikaatio olla pakollinen. Pankkitilin turvallisuus perustuu enemmänkin siihen että mobiililaite on käyttäjällä fyysisesti hallussa kuin jonkun salasanan tietämiseen. Salasana ei nyt yleensäkään turvaa juuri mitään koska hyvin harva käyttäjä valitsee vahvoja salasanoja.

Joku S-Pankin käyttäjä voisi kertoa miten se toimii. Pelkkään salasanaan perustuva järjestelmä johtaisi kai siihen että tilin kaappaukset olisivat jokapäiväisiä.

Anonyymi kirjoitti...

Käyttäjätunnus 8 numeroa, salasana neljä numeroa. Sen jälkeen sisään verkkopankkiin, kun on näpyttänyt läpyskästä koodin annetusta kohdasta. Voi joskus kysyä tekstiviestikoodia jos maksaa tai tekee tilisiirtoja. Mobiiliappilla ei kysy.

Anonyymi kirjoitti...

Nyt taitaa olla suhinaa monessa pankissa kun järjestelmiä testataan ja paikataan. Ainkin op ja aktia ovat viikon sisällä ilmoittaneet mobiilisovilluksessa että päivityksiä tehdään.

Anonyymi kirjoitti...

Olen itse ihmetellyt vuosien saatossa nuorien "hakkereiden" ovelia taitoja ja saman aikaisia alkeellisia mokia. Ihmettelen suuresti että osataan hakkeroida joku palvelu mutta ei ymmärretä käyttää TOR-verkkoa tai edes VPN:ää vaan mennään suoraan omalla IP-osoitteella.
Aina sama laulu että omia jälkiä ei sitten osata peittää.

Anonyymi kirjoitti...

Eikös Veikauksella voi kokeilla uusia arpoja ilmaisilla "leikkipeleillä"? Tässä S-Pankin versiossa on kyllä paremmat kertoimet. Vain tyhymä jättää kokeilematta "onnennumeroitaan". ;-)

Petteri Järvinen kirjoitti...

Tässä tapauksessa hakkerit on ollut helppo paljastaa rahansiirtojen perusteella ja mahdollisesti televalvonnan keinoin. IP-osoitteen piilottaminen ei paljon auta, kun siirtää rahaa omalle ja kaverien tileille.

Anonyymi kirjoitti...

Olen itse ihmetellyt vuosien saatossa nuorien "hakkereiden" ovelia taitoja ja saman aikaisia alkeellisia mokia. Ihmettelen suuresti että osataan hakkeroida joku palvelu mutta ei ymmärretä käyttää TOR-verkkoa tai edes VPN:ää vaan mennään suoraan omalla IP-osoitteella.
Aina sama laulu että omia jälkiä ei sitten osata peittää.


Tässä tapauksessa kyseessä ovat olleet suomalaiset nuoret miehet/pojat, joten rahat lienee siirretty heidän tileilleen tai heidän kavereidensa tileille. Tutkinnassa poliisi tietenkin saa selville, ketkä ovat näiden tilien omistajat ja sitä kautta vyyhti lähtee selviämään. Ei IP-osoitteen piilotuksella mitään olisi saavutettu.

Paljon pahempi tilanne olisi ollut, jos haavoittuvuus olisi paljastunut ulkomaalaisille ammattihakkereille. Tällöin rahat olisi siirretty nopeasti ulkomaisille tileille ja sieltä eteenpäin, kunnes ne olisi hävitetty lopullisesti viranomaisten näköpiiristä. Hakkereitakaan tuskin olisi saatu kiinni koskaan.

Edelleenkin mietityttää S-Pankin haavoittuvuus. Mistä on ollut kyse ja kuinka suuri osa asiakkaista on ollut vaarassa?

Anonyymi kirjoitti...

Olisihan joku voinut ensin kalastaa jonkun toisen verkkopankkitunnukset ja sitten TOR-verkon välityksellä kirjautua niillä verkkopankkiin, sitten siirrellä rahoja ulkomaille.

Muistuu mieleen kun aikanaan koulussa pojat kirjautuivat toisen luokkalaisen tunnuksilla koulun verkkoon ja latasivat koulun verkkokiintolevylle pornoa, tiedostoissa sitten näkyi omistajana kyseisen luokkalaisen nimi kenen tunnuksilla oli kirjauduttu. Tiedostot kummittelivat päähakemistossa vuosia.

KohtoKohto kirjoitti...

Olisihan joku voinut ensin kalastaa jonkun toisen verkkopankkitunnukset ja sitten TOR-verkon välityksellä kirjautua niillä verkkopankkiin, sitten siirrellä rahoja ulkomaille.

Näin juuri olisi toimittu, jos kyseessä olisi ollut ammattihakkerien ryhmä. S-Pankilla on käynyt tuuri siinä, että rikolliset ovatkin olleet nuoria poikia, eivätkä ammattihakkereita.

Pahimmillaanhan näissä rahojen siirroissa menetellään niin, että rahat siirretään ensin ulkomaisen pankin tilille ja sieltä eteenpäin esimerkiksi johonkin kolmannen maailman valtioon, jossa rahat nostetaan käteisenä ja hävitetään sitä kautta niiden alkuperä. Toinen vaihtoehto nykyaikana on käyttää esimerkiksi ostaa rahoilla Bitcoineja ja sitten muuttaa Bitcoinit käteiseksi jossain muualla.

Edelleenkin tästä tapahtumasta kaivattaisiin lisätietoja. Mitä oikein on tapahtunut tarkalleen ja kuinka suuri joukko tilejä on ollut haavoittuvaisessa asemassa.

Anonyymi kirjoitti...

Ei ole tullut käytettyä S-pankki tietokoneen selaimella pitkään aikaan mutta nykyään tunnus + salasana ja tunnuslukutaulukon luku eivät enään riitä pääsyyn vaan lisäksi pitää syöttää kännykkän tuleva vahvistuskoodi.

Oliskohan onneton yritys pelastaa s-pankin #tietoturva mainetta"

Miksi tietokoneella yksin ei pääse pankiin mutta kännykällä pääsee pelkällä sormenjäljellä?

Danskebank teki myös vuosia sitten selkeän huononnuksen selain käyttäjien käyttöliittymään eli maksut hyväksytään salasanalla (ei ole sana koska pelkkiä 4-numeroinen luku). Syy oli pankin selityksen mukaan "Asiakaat olivat valittaneet että tunnuslukuja kuluu niin paljon" mikä tuskin pitää paikaansa.

Danskebankissa on käytössä eSafeID tunnuslukulaite joten kyllä sitä voisi käyttää maksujen hyväksyntään (kaikki maksut voi hyväksyä yhdelläkin kerralla).

ps. S-Pankki muuttaa huomenna 21.09 käyttäjätunnukset 4 merkkiä + 4 numero muodosta 6-8 numeroiseen muotoon eli HELPOITTAA murtautujia arvaamaan muiden käyttäjätunnuksia.

Veikkaan että nuo S-pankkien uhrien tunnukset olivat kaikki pelkkiä numeerisia käyttäjätunnuksia.

Näin tietoturva etenee paitsi pankkien osalta

KohtoKohto kirjoitti...

Edellinen kommentoija esitti ihan valideja kysymyksiä.

Miksi tietokoneella yksin ei pääse pankiin mutta kännykällä pääsee pelkällä sormenjäljellä?

Kännykälläkään ei pääse pelkällä sormenjäljellä suoraan, vaan kyllä käyttäjän täytyy asentaa S-Pankin appis ja kirjautua sillä hyvin huolellisesti vahvalla tunnistautumisella sisään. Vasta tämän jälkeen on mahdollista käyttää sormenjälkeä. Lisäksi kännykkä pitää myös ensin saada auki (sormenjäljellä tai lukituskoodilla) ennen kuin sillä pääsee kirjautumaan. Toisin sanoen satunnaisesti kännykän haltuunsa saava ei pääse edes yrittämään sormenjäljellä kirjautumista.

ps. S-Pankki muuttaa huomenna 21.09 käyttäjätunnukset 4 merkkiä + 4 numero muodosta 6-8 numeroiseen muotoon eli HELPOITTAA murtautujia arvaamaan muiden käyttäjätunnuksia.

Ei tämä ole oleellista. Tunnistautumiseen tarvitaan kuitenkin paljon muutakin. Vaihtoehtoja on kuitenkin tuhottomasti arvattavaksi.

Anonyymi kirjoitti...

Olisiko nuoret vahingossa esim. näppäilyvirheen avulla päässeet järjestelmään kirjautumaan ja tuosta sitten päätelleet loput. Tuollaisia mokiahan on ennenkin tapahtunut toisissa yhteyksissä. Muistelisin että erään öljyjalostamon kuukauden laskutus oli siirretty yksityishenkilön pankkitilille yhden virheellisen näppäilyn johdota, ja kuinka ollakaan tilin omistaja oli tuolloin Thaimaan lomallaan. Lomailija ja rahat hävisivät sen sileän tien.

Itsekin huomasin yhden mokan tässä hiljattain, vai onko tämä nyt mikään moka, että kuinka helppoa on päästä katselemaan kansalaisten verkkokauppatilausten etenemistä. Verkkokauppiaathan antavat JJFI-koodin jolla voi seurata voi seurata ja lopulta hakea ostoksen postista. Mutta kun sopivasti tekee näppäilyvirheen, niin saattaa päästä näkemään tilauksen vaiheita. Toivottavasti henkilötunnus vaaditaan JJFI-koodin tapauksissa ennen kuin toimitus annetaan hakijalle.

Markus kirjoitti...

https://www.iltalehti.fi/digiuutiset/a/822b4dbf-3e59-4ac6-bcf1-9fe41063f6e3

Iltalehdessä nyt tarina "Annelista", jonka asia ei ilmeisesti sitten etene juuri syystä, että Pankki itse ei ole ottanut häneen päin yhteyttä. Eli edelleenkin taistelee tuulimyllyjä vastaan.

Tässä nyt tullaan siihen, miten Pankki nyt yhtäkkiä voi tietää kuka uhri on, jos pankki ei tiennyt alun alkaenkaan olevansa rikoksen uhri. Eli mikä on se tunnistusmetodi, että pankki voi nyt sanoa selkeällä varmuudella, että "Anneli" ei ole uhri.

Tätä tarinaa ei ilmeisesti ole loppuun asti nähty. Niin kuin aikaisemminkin jo useat täällä epäili.

Paras suositus nyt on vain ottaa rahat pois S-pankista, ennen kuin on aito varmuus siitä, että osaavat työnsä. Koska sen sitten tietää? Jaa a. Ei tällä tavalla varmaan koskaan.

KohtoKohto kirjoitti...

Markuksen postaus on taas yksi uusi haara tässä tapauksessa.

Tässä nyt tullaan siihen, miten Pankki nyt yhtäkkiä voi tietää kuka uhri on, jos pankki ei tiennyt alun alkaenkaan olevansa rikoksen uhri. Eli mikä on se tunnistusmetodi, että pankki voi nyt sanoa selkeällä varmuudella, että "Anneli" ei ole uhri.

Tämä onkin mielenkiintoinen kysymys. Tietääkö pankki jostain, että Anneli on uhri tai ei ole. Onko haavoittuvuuden piirissä olleilla asiakkailla jokin yhteinen tekijä, jonka perusteella pankki tietää nämä asiakkaat. Jutun perusteellahan näyttäisi näin olevan. Anneliin ei kukaan ole ottanut yhteyttä tietomurtoon liittyen.

Luin Iltalehden jutun aiheesta. Pankista oli vihjattu Annelin ulkomaisen ex-miehen olevan teon takana. Ilmeisesti niin, että Anneli olisi tieten tahtoen lähettänyt ex-miehelleen tarvittavat tunnistautumistiedot ja mies olisi tehnyt tilisiirrot ja ostot ulkomailla. Ehkäpä tämä tapaus ei siis olekaan tietomurtoon liittyvä.

Anonyymi kirjoitti...

"Tässä HS:n uutinen eiliseltä."

HS:n jutussa sanottiin:

"HS on nähnyt Hämeen poliisilaitoksen Aallolle lähettämän asiakirjan, jossa kerrotaan Aallon tilitapahtumiin liittyneen esitutkinnan päättyneen. Poliisin mukaan on perusteltua syytä olettaa, että rikoksen tekopaikka on ulkomailla. Koska Suomen poliisilla ei ole toimivaltaa tehdä esitutkintaa ulkomailla, tutkinta on lopetettu."

Tarkoittaako tämä että poliisi ei tee mitään? Onko hyvä järjestelmä sellainen, jossa ulkomaisista tileistä menee tieto Suomen Verohallinnolle automaattisen tietojenvaihdon kautta jotta kukaan ei voi kiertää veroja, mutta suoranaisissa varkaustapauksissa valtion rajaa ei poliisi pysty ylittämään. Ja onko esitutkintojen lopettamiseen joku muu syy kuin kerätä tilastoihin näennäistä tietoa poliisin tehokkuudesta. Estääkö jokin esim. pitämästä tutkintaa auki seuraavan 50 vuoden ajan? Poliisin tutkinnnan lopettamiset ovat varkauksien laillistamista.

Petteri Järvinen kirjoitti...

Tässä nyt tullaan siihen, miten Pankki nyt yhtäkkiä voi tietää kuka uhri on, jos pankki ei tiennyt alun alkaenkaan olevansa rikoksen uhri.

Ei välttämättä tiedäkään. Voi kuitenkin olla, että nyt kun tekninen ongelma on paljastunut pankki ymmärtää, että tietyllä päätelaitteella (Samsungin jokin puhelin) ja ip-osoitteella tehdyt siirrot, jotka asiakas itse kiistää, ovat rikollisia tekoja. Eivät ehkä ihan kaikki, mutta lopuista ei kannata ryhtyä riitelemään, kun maito on jo kaatunut. Nyt kannattaa vain maksaa.

Tässä on vielä sekin ongelma, että aukko on ollut erittäin helppo hyödyntää. Joku muukin on saattanut tehdä saman pienemmässä mittakaavassa eikä siksi ole jäänyt kiinni.

Anonyymi kirjoitti...

Ei liity suoraan tähän, mutta tässä sain Stadiumilta pyynnön liittää poistuva kantiskortti ajokorttiin. Ei ole ainut oulju joka tätä pyydellyt. En ole suostunut ja kantis asiakkuuden lopettanut siihen. Olisi mielenkiintoista tietää, miten tuo linkitys tapahtuu ja voisiko tässä kätevältä kuulostavassa systeemissä olla tietoturvan ja henkilötietojen kannalta riskejä. Yleensä riittää sposti ja nimi mutta ajokortissa on kiinni mm. hetu...

Zarr kirjoitti...

Ei liity suoraan tähän, mutta tässä sain Stadiumilta pyynnön liittää poistuva kantiskortti ajokorttiin.

Yleensä perustuu tasan siihen että vilauttamalla ajokortin viivakoodia kassalla niin hetulla tunnistetaan.

Hetu ei sinänsä taas kerran *pitäisi* olla mikään suuri salaisuus - sehän on vain uniikki tunniste - mutta kun sitä kuitenkin käytetään väärin jonkinlaisena salasanana niin ehkä parempi jättää väliin.

Yhtä lailla Kela-kortti kävisi varmaan. Tai vaikka kännyssä oleva kuva viivakoodista jossa hetu on.

Anonyymi kirjoitti...

S-Pankki Oy muutti vuonna 2020 yhtiömuotoa ja nimeä. Uusi nimi on S-Pankki Oyj. Nimenmuutos ei kuitenkaan ole edennyt kovin vauhdikkaasti.

Sähköisen tunnistuspalvelun tarjoajia koskevassa rekisterissä nimi on edelleen S-Pankki Oy, vaikka laki velvoittaa ilmoittamaan muutoksista viipymättä kirjallisesti Liikenne- ja viestintävirastolle.

S-Pankin verkosivujen ja verkkopankin varmenne kertoo pankin nimeksi yhä edelleen S-Pankki Oy.

Verkkotunnus s-pankki.fi on rekisteröity yritykselle jonka toiminta on lakannut vuonna 2014 sulautumisen johdosta.

Oskari kirjoitti...

Tämä ei edes yllättänyt, itse spankin asiakkaana ihmettelin muutosta kesän aikana. Ennen jouduit avaamaan sovelluksen että pääsit vahvistamaan itsesi kun kirjaudut vaikka suomi.fi palveluun lukemaan viestejäsi tai sitten omakantaan katsomaan reseptejä. Tässä kesän aikana se muuttuikin niin että pääsi suoraan kirjautumis sivusta klikkamaan sovelluksen auki, sitten tuli tämä uutinen ja tadaa ominaisuus oli poissa. Eli tässä ominaisuudessa oli jokin haavoittuvuus minkä avulla päästiin käsiksi toisten tileihin

Anonyymi kirjoitti...

Pari vuotta sitten liityin S-pankin asiakkaaksi jotta saisin osinkoja. Postissa ei koskaan avaintunnuslukuja tai muita salasanoja tullut. Surkea pankki sanon minä.

Anonyymi kirjoitti...

S-Pankki Oy muutti vuonna 2020 yhtiömuotoa ja nimeä. Uusi nimi on S-Pankki Oyj. Nimenmuutos ei kuitenkaan ole edennyt kovin vauhdikkaasti.

Totta, näin on.

S-Pankin verkosivujen ja verkkopankin varmenne kertoo pankin nimeksi yhä edelleen S-Pankki Oy.

Verkkotunnus s-pankki.fi on rekisteröity yritykselle jonka toiminta on lakannut vuonna 2014 sulautumisen johdosta.


Näiden osalta muutosjärjestys on se, että esin S-Pankin on pyydettävä domainin rekisteröijää (Euronic Oy) tekemään verkkonimen (domainin) käyttäjän muutos Traficomin ylläpitämään rekisteriin. Traficom edellyttää että käyttäjien tiedot ovat ajan aina tasalla.

Whois kyselllä näkee, että tietoja on viimeksi päivitetty 2021 Tammikuussa ja saman vuoden Joulukuussa, päivälleen 11 kuukautta myöhemmin heille on myönnetty (HUOM!) EV -varmenne vaikka yrityksen toiminta on YTJ:n mukaan loppunut 7 vuotta 7 kuukautta aikaisemmin.

DigiCertille on tapahtunut tässä paha hutilointi, sen DCV-prosessi on pettänyt pahan kerran.

Myönnetty varmenne vanhenee 24.1.2023. Mutta kyse ei ole niin isosta kustannuksesta, että S-Pankin olisi missään nimessä pitänyt jättää varmenne vaihtamatta. EV:tä käyttäessä kyse on noin viidensadan dollarin kustannuksesta per vuosi.

Mutta siis vastuu tietojen päivittämisestä rekisteröijälle on yksiselitteisesti S-Pankilla ja varmenteen vaihtamisesta vastaamaan samoin.

DigiCertille joka varmenteen on myöntänyt vanhalle nimelle pitäisi kertoa asiasta, niin että he ovat tarkempia jatkossa näissä asioissa.

Osmo kirjoitti...

Ongelma on, että koko ketju kännykän avaamisesta maksun kuittaamiseen on sen sormenjäljen takana. Kuittaus pitäisi tehdä koodilla. En näe paljon hyötyä sen tekemisessä sormenjälellä. Esimerkiksi nukkuvan tai tajuttoman sormenjälkeä voi käyttää tämä tietämättä.

Jos kännykkä katoaa, niin itse ei pääse verkkopankkiin tarkastamaan asioita tai muuttamaan asetuksia. Täytyy olla uskossa, että sormenjälki suojaa.

Anonyymi kirjoitti...

Joo näin vähän päättelin. Kela korttiin apteekit liittää "kantiksiaan". Minulle sopisi hyvin vaikka että kaikkien suomalaisten hetut tehtäisiin julkisiksi niin loppuisi niiden käyttö "salasanana" tai tunnistamisessa. Olisi vain maija meikäläisten erotusväline.
Jätin tosiaan tämän puljun kantisasiakkuuden kun ei sposti riittänyt (joita minulla on useita tarkoituksella)

Anonyymi kirjoitti...

Tää on sitä "Open Banking":ia.

https://tulli.fi/asiointi-info/pankki-ja-maksutilien-valvontajarjestelma

Miksihän s-pankki KIELSI kirjaimien käytön käyttäjätunnuksissa tai salasanaoissa,
ja halusi rajoittaa numeroidenkin määärän alle kymmeneen.



Markus kirjoitti...

Ruotsissahan on julkiset henkilötunnukset. Voit etsiä googlella ihan nimellä. Omakin sukulaiseni, joka Tukholmassa asuu, löytyy ihan nimellä kirjoittamalla. Tietoja löytyy autosta jonka omistaa, veloista, sekä se hetu.

Petterille tiedoksi, että aikaisemmin pinnalla olleesta vastaamo-kohusta on nyt todella rajua lisätietoa. Jos kiinnostaa enää.

https://www.iltalehti.fi/digiuutiset/a/69314f2e-bb1c-4ea0-8ad6-9a188e0668b5