<b>SIKKERHETSHULL?</b> Raskesider.no mener DNBs nettbank har for dårlig sikkerhet. Foto: BERIT B. NJARGA
SIKKERHETSHULL? Raskesider.no mener DNBs nettbank har for dårlig sikkerhet. Foto: BERIT B. NJARGAVis mer

Hevder DNBs nettbank har svakheter

Sikkerhetshull i flere nettbanker kan gi fremmede tilgang, hevder ekspert.

For å unngå at andre får tilgang på kommunikasjonen mellom deg og nettstedet du bruker, eksempelvis ved innlogging i nettbanken, brukes såkalte serversertifikater. Men noen slike sertifikater kan ha svakheter, slik tilfellet er for DNBs nettbank.

Dette hevder raskesider.no, som har undersøkt sikkerheten ved åtte norske nettbankers sikkerhetssertifikater.

Både DNB og to andre banker har sikkerhetssvakheter som straks bør utredes, ifølge raskesider.no.

Tre banker får lav score

Hengelås og https:// viser at nettsiden bruker såkalte serversertifikater. Foto: BERIT B. NJARGA Vis mer


Om et nettsted bruker såkalte serversertifikater, ser du ved at adressen til nettstedet begynner med «https://» og ikke bare «http://». Dessuten vil det vanligvis være en liten hengelås ved siden av adressen.

Men det betyr ikke at sertifikatet, eller konfigurasjonen til serveren, ikke kan ha svakheter.

Raskesider.no har brukt Qualsys SSL server test, som gir en score som viser hvor sikker nettsidenes sikkerhetssertifikater er.

Er resultatet fra A eller B, er alt i orden. En score på C eller lavere betyr at det er viktige sikkerhetssvakheter som straks bør utbedres, skriver raskesider.no i sin blogg.

Både DNB, BN Bank og Bank2 får en score på F.

SE OGSÅ: Hva er nytt med DNBs bankkort

Kan få tilgang til nettbanken

Vidar Korsberg Dalsbø. Foto: DNB Vis mer


Dermed risikerer kundene som bruker bankenes nettbanker at andre kan se all informasjon i nettbanken, eller i verste fall at en hacker kan klare å benytte nettbanken fritt, ifølge systemingeniør Hans Kristian Rosbach i raskesider.no.

- De risikerer at andre kan se all informasjonen i nettbanken slik brukeren selv ser det, for eksempel ved enkel avlytting av trådløst nettverk, sier Rosbach, og legger til at dette i noen tilfeller kan utføres så enkelt at nær sagt hvem som helst som kan nok om data til å installere ett program kan klare det.

Ved mer avanserte angrep som lyder navnet «Man In The Middle», der en hacker kan kontrollere for eksempel en router på veien mellom brukeren og banken, kan hackeren klare å benytte nettbanken fritt, selv om brukeren ikke merker noe forskjell før skaden har skjedd, sier Rosbach videre.

Dinside har tidligere også omtalt at bankenes nettbank-apper er sårbare.

Sa fra i desember

I desember gjorde daglig leder Erlend Eide i Raskesider.no DNBs kundeservice oppmerksom på problemet via Twitter, og fikk da som svar at det jobbes med utfordringen.

Som deres test viser er det fortsatt ikke skjedd noe for å løse problemet, og det synes Eide er rart, ettersom SSL er grunnlaget for trygg kommunikasjon mellom besøkende og websider.

- Vi synes det er underlig at dette ikke blir passet bedre på, og at sikkerhetshull som er mange måneder gamle ikke er håndtert, påpeker Eide.

Han legger til at løsningene i seg selv er trygge, ettersom bankene har mange lag med sikkerhet. Han spør seg likevel hvordan sikkerhetsarbeidet er forøvrig, når det som er tilgjengelig for alle på internett ikke blir skikkelig vedlikeholdt.

Les også hvorfor du antakelig ikke kan betale med telefonen din ennå

Dette svarer DNB

Kommunikasjonsrådgiver Vidar Korsberg Dalsbø sier til Dinside at de ikke kan kommentere detaljer knyttet til spørsmål om hvordan de jobber med IT-sikkerhet, men at de på generell basis kan si at de fokuserer på å gjøre tjenestene trygge og brukervennlige til en hver tid.

- Vi mener vår nettbank er trygg, noe vår svært gode historikk med henhold til sikkerhet også underbygger. Når vi oppdager sikkerhetshull vil vi naturligvis ta tak i det for å utbedre disse, og dette arbeidet skjer kontinuerlig. Vi er i gang med å gjøre utbedringer av denne sårbarheten, sier Korsberg Dalsbø til Dinside.

Les også hvorfor BankID ikke skiller mellom store og små bokstaver i passordet