PeliSuomi Elämää tämä vain on...joka päivä sen loppua kohden kuljen.

Nordea ei huolehtinut riittävästä tietoturvasta ja asiakas maksaa

”Iäkäs pariskunta joutui nettihuijauksen uhriksi ja syytti pankkia - oikeus tuomitsi 38 000 euron korvauksiin”

” Rikollinen teki tilisiirron 8. heinäkuuta. Tilille oli ensin kirjauduttu vanhentuneella pankkitunnuksella ja heti perään oikealla. Rikollinen vaihtoi oman puhelinnumeronsa pariskunnan numeron tilalle, minkä avulla hän pääsi ohittamaan pankin tekstiviestivarmenteen tilisiirroissa.

Huijari siirsi 4 800 euroa puolalaiselle tilille. Siirron jälkeen varas kävi vielä tarkistamassa, oliko siirto onnistunut.” Lähde: Iltalehti 8.11.2017

Nordean sivulta:

"Pankin vastuu ja velvollisuudet palvelun tarjoajana

Pankin vastuulla palveluntarjoajana on suojata verkkopankkiohjelma parhailla mahdollisilla ratkaisuilla. Näitä ratkaisuja ovat muun muassa TLS-suojaus sekä vaihtuvien salasanojen järjestelmä. Pankki seuraa tietoturvauhkien ja -ratkaisujen kehitystä jatkuvasti ja ottaa ne huomioon omissa tietoturvaratkaisuissaan."

Suojasiko Nordea verkkopankkiohjelmansa parhaalla mahdollisella tavalla?

Minun mielestäni ei suojannut, jos verkkopankissa voidaan vaihtaa puhelinnumero, jota ei voi esim. Espanjalaisen verkkopankin tilillä tehdä, vaan täytyy mennä pankin konttoriin vaihtamaan puhelinnumero. Ei pidä olla tietoturva-asiantuntija, kun ymmärtää tämän haavoittuvuuden verkkopankissa. Espanjassa pankista soitetaan aina, kun tilinsiirto ulkomaille tehdään, riippumatta siirettävän summan suuruudesta. Turha olisi soitella, jos puhelinnumeron voisi varas verkopankissa vaihtaa

Suomalaisten ei tarvitse useasti käydä edes pankissa puhelinnumeroa vaihtamassa, sillä vanha numero säilyy vaikka operaattoria vaihtaisi.

On aivan selvää, että Nordea pankki on laiminlyönyt verkkopankkiohjelman tietoturvan suojauksen mahdollistaen kaksinkertaisen suojauksen yksinkertaisen murron, eli pankkitunnuksilla puhelinnumeron vaihdon, joka on se toinen tilisiirron varmistustoimenpide.

Ihmettelen myös Helsingin käräjäoikeuden tuomiota, kun siinä ei ole huomioitu ”Heikomman suojaa”, joka täytyisi erityisesti ottaa huomioon määrättäessä oikeudenkäyntikulujen korvaaminen. Iäkkäälle pariskunnalle 38.000€:n oikeudenkäyntikulut ovat täysin kohtuuttomat verrattuna suuren Nordea pankin mahdollisuuteen vastata niistä kuluista itse.

Mielestäni ei tapahtunut oikeus ja kohtuus, vaan väärys ja kohtuuttomuus!

Piditkö tästä kirjoituksesta? Näytä se!

8Suosittele

8 käyttäjää suosittelee tätä kirjoitusta. - Näytä suosittelijat

NäytäPiilota kommentit (19 kommenttia)

Käyttäjän mattivillikari kuva
Matti Villikari

Tuskin raastuvanoikeuden jäsenet ovat kovinkaan paljoa perillä tietotekniikasta ja tietoturvallisuudesta. Ehkä iäkäs pariskunta ei pystynyt pestaamaan asianajakseen alan asiantuntijaa. Se on varmaa, että Nordean puolustuksella oli paras mahdollinen asiantuntija, joka pystyi todistamaan oikeudelle, ettei puhelinnumeron vaihto netissä ole ongelma.

Iäkkään pariskunnan tililtä huijattiin 4800. Nordean olisi kannattanut maksaa se pois. Olivat todella tyhmiä. Tämä "kielteinen mainos" maksaa Nordealle runsaasti enemmän. Tyhmää on myös se, etteivät ymmärrä sitä, että virheen myöntäminen ja korjaaminen, olisi johtanut asiakasystävälliseen ja myönteiseen suhtautumiseen pankkiin.

Jos periaatteena on: ”Asiakas on aina väärässä” tilanne muuttuu jos kaikki potentiaaliset "väärässä olijat" vaihtaisivat, sellaiseen suomalaiseen pankkiin, missä "asiakas on aina oikeassa".

Käyttäjän topira kuva
Topi Rantakivi

Esimerkiksi isot ohjelmistofirmat yms. maksavat suuria palkkioita kaikille, ketkä löytävät merkittäviä tietoturvaongelmia heidän ohjelmistaan.

Minun nähdäkseni Nordean olisi kannattanut vaan maksaa ne kulut ja todeta, että olihan heillä aika iso tietoturvaongelma huomaamatta ja se asia korjataan pikaisesti.

Pankeilla on ihan sikamaisesti rahaa ja yhtä hyvin he olisivat voineet maksaa suuria palkkioita niille hakkereille, jotka löytävät ongelmia ja niitä kannattaa korjata.

Ei kyllä vala uskoa Nordean nettipalveluihin, jos niiden turvallisuus on kuin reikäjuustoa.

Käyttäjän PekkaMansala kuva
Pekka Mansala

Helsingin käräjäoikeus on näköjään taas kunnostautunut. Kuinkas muuten.
Miksei Suomessa, joka mukamas on oikeusvaltio kukaan eikä mikään valvo tuollaisten leikkioikeuksien toimintaa ?
Helsingin käräjäoikeus (onpa hupaisa nimi) on kääntänyt heikomman suojan päälaelleen. Kutsuu silti itseään oikeudeksi.

Puukartellikäräjilläkin päätös on käsittämätön.
Ensin Helsingin käräjäoikeus yritti esittää, että kaikki kanteet ovat vanhentuneet. Kun se ei mennyt läpi hovioikeudessa, nyt Helsingin käräjäoikeus päättikin, ettei kartellista ole kenellekään mitään haittaa.
Tosin markkinaoikeus oli tuominnut metsäyhtiöt sakkoihin saman kartellin takia, mutta Helsingin käräjäoikeus väittää, että kartellit perustetaan ihan vaan huvin vuoksi. Kun ei ole muutakaan tekemistä.

Lottokoneellako Helsingin käräjäoikeus päätökset arpoo ?

Käyttäjän pii3719 kuva
Pertti Ikonen

Tuo on ikävä tapaus mutta tulee myös muistaa, että kuka tahansa voisi sopia rikollisten kanssa, että ikään kuin eksyvät vahingossa jollekin sivustolle jossa antavat pankkitunnuksensa johonkin tarkoitukseen, mutta rikolliset käyttäisivätkin tunnuksia tilinsiirtoon. Tuolle taitaa olla nimikin : "man in the middle attack".

Käyttäjän mattivillikari kuva
Matti Villikari

Mutta puhelinnumeron vaihtaminen ilman vahvaa tunnistusta......???? Ei vaikuta kovin fiksulta kun sitä puhelua käytetään transaktion varmentamiseen. Todella typerä systeemi Nordealla.

Käyttäjän pii3719 kuva
Pertti Ikonen

Ei onnistu puhelinnumeron vaihtaminen minun Nordean sivulta sillä päästäkseen ylipäätään omille sivuilleen, tarvitaan vahva tunnistautuminen omalla vakiokoodilla ja muuttuvalla login-koodilla.

Käyttäjän PeliSuomi kuva
Pertti Lindeman Vastaus kommenttiin #7

” Rikollinen teki tilisiirron 8. heinäkuuta. Tilille oli ensin kirjauduttu vanhentuneella pankkitunnuksella ja heti perään oikealla. Rikollinen vaihtoi oman puhelinnumeronsa pariskunnan numeron tilalle, minkä avulla hän pääsi ohittamaan pankin tekstiviestivarmenteen tilisiirroissa.

Käyttäjän pii3719 kuva
Pertti Ikonen Vastaus kommenttiin #8

"Tilille oli ensin kirjauduttu vanhentuneella pankkitunnuksella "

Tuossa on kyllä selvä moka Nordean kohdalla ja ovat varmaankin sen myöntäneet.

"ja heti perään oikealla."

Minkähän takia heti perään oikealla tunnuksella kun vanha tunnuskin olisi riittänyt puhelinnumeron vaihtamiseen.

Käyttäjän PeliSuomi kuva
Pertti Lindeman Vastaus kommenttiin #9

Vaikuttaa siltä, että Nordea kertoo muunneltua totuutta.

Käyttäjän mattivillikari kuva
Matti Villikari Vastaus kommenttiin #9

Puhelinsoitolla tai tekstiviestillä halutaan vielä varmistaa suuret tilisiirrot sen lisäksi että on käytetty tunnuslukulistaa.

Toisin sanoen jos käyttäjätunnus salasana ja tunnuslukulista joutuvat vääriin käsiin, tilin omistajalla on vielä mahdollisuus estää rikollista tyhjentämästä tiliä yhdellä tai muutamalla siirrolla.

Jos siis rikollisella on tunnuslukulista, hän voi muuttaa puhelinnumeron omakseen ja näin ohittaa tuon pankin varmistussoiton.

Nyt pankki vetoaa tietenkin siihen, että asiakas ei ole säilyttänyt tunnuslukulistaa turvallisesti kun se on joutunut vääriin käsiin. Joka tapauksessa kysymyksessä on rikos eikä pankin järjestelmä ole pystynyt estämään sitä puhelinsoitolla, niin kuin on ollut tarkoitus.

Matti Mustonen

oikea päätös. kulujen kohtuuĺlistaminen on eri juttu.

Käyttäjän velitakanen kuva
Veli Takanen

Tässähän on rikollinen saanut vanhuksilta tunnukset. Suurin ongelma näissä onkin se, ettei ihmisille ole selvää se, että kukaan ei kysele tunnuksia puhelimessa. Ei poliisi eikä pankki.

Täällä puhutaan kaksoisvarmenteen puuttumisesta, mutta Nordean tunnuslukukortissa on kyllä varmenne. Järjestelmään mennään sisään asiakastunnuksella ja vaihtuvalla numerokoodilla. Kun toimenpiteet on tehty, tulee kaikkiin toimenpiteisiin verkkopankissa antaa vahvistuskoodi (kaksoisvarmenne).

Jos tällaisessa tapauksessa pankki tuomittaisiin vastuuseen, avaisi se todella suuret mahdollisuudet rikollissiin tilisiirtoihin. Kuka tahansa voisi perustaa tilin ulkomaille ja siirtää rahoja sinne tunnusluvuillaan ja kakkospuhelimella sekä väittää, jonkun huijanneen käyttäjätunnuksen ja kooditaulukon.

Toisaalta tuolloin oli jo käytössä mobiilitunnistus, jossa tunnistus tapahtuu älypuhelimen kautta. Siinäkin kaksoisvarmenne on.

Käyttäjän PeliSuomi kuva
Pertti Lindeman

Täytyy ymmärtää, että pankin huolellisuusvelvollisuus tietoturvassa on huomattavasti tärkeämpi, sillä sen pettäminen aiheuttaa suuremmat vahingot kuin yksittäisen asiakkaan huolimattomuus.

Tietoturvan varmenteena käytettävän puhelinnumeron vaihtaminen verkkopankissa ei mielestäni täytyä sitä huolellisuusvelvoitetta.

Käyttäjän velitakanen kuva
Veli Takanen

Miksei täytä, koska sinne pitää mennä seitsemännumeroisella käyttäjätunnuksella ja antaa tunnusluku, että pääsee järjestelmään sisään. Kun on vaihtanut puhelinnumeron, pitää tehdä vahvistus sillä kirjaimen mukaisella vahvistuskoodilla, jonka järjestelmä antaa. Tämä on lain edellyttämä kaksoisvarmenne.

Se, että puhelinnumeron voi vaihtaa järjestelmässä, on hyvin käytännöllistä henkilöille, jotka asuvat useammassa maassa ja käyttävät kussakin maassa maan omia operaattoreita.

Asiakkaan kohdalla ei kysymys ole huolimattomuudesta vaan tuottamuksesta, koska sopimuksessa pankin kanssa sanotaan, ettei koodeja saa luovuttaa toisen henkilön käyttöön.

Käyttäjän mattivillikari kuva
Matti Villikari Vastaus kommenttiin #14

Entä jos ne asuntomurron yhteydessä tunnuslukulista, käyttäjätunnus ja salasana joutuvat vääriin käsiin. Tilin omistaja on ulkomailla, ei tiedä murrosta mitään, eikä saa puhelinsoittoa tilisiirron varmistamiksi? Tilinomistaja ei siinä tapauksessa ole tuottamuksellisesti vaikuttanut tapahtumaan.

Käyttäjän PeliSuomi kuva
Pertti Lindeman Vastaus kommenttiin #14

Nordeakaan ei ole täysin varma tuomiosta

"Nordea aikoo miettiä, vaatiiko se oikeuden tuomitsemaa korvaussummaa pariskunnalta täysimääräisenä sikäli, kun ratkaisun käsittely ei jatku hovioikeudessa.

- Tutustumme oikeuden päätökseen, ja harkitsemme myös rauhassa mahdollista kulujen perimistä.

Päivitetty osa Nordean lausunnosta kello 14.28." Lähde Iltalehti 8.11.2017

Käyttäjän velitakanen kuva
Veli Takanen Vastaus kommenttiin #16

Se, joka tässä tapauksessa on rikollisten lisäksi huijannut asiakkaita, on heidän oma asianajajansa, joka on lähtenyt kannetta ajamaan tietäen hyvin, ettei sillä ole mahdollisuutta menestyä. Tämän asianajajan palkkio jää kuitenkin asiakkaiden maksettavaksi, vaikka pankki olisikin armelias ja jättäisi honkun osan perimättä.

Jos tässäkin toimittaja olisi tehnyt työnsä hyvin, hän olisi kysynyt asianajajalta, millä perusteella hän lähti kannetta ajamaan. Sekä, mikä oli hänen palkkionsa.

En tunne tapausta sen paremmin, mutta yleensä tällaisissa tapauksissa saajapuoli tekee arvion maksajan kyvystä maksaa summa. Jos sitä ole, niin asia koetetaan kääntää myönteiseksi jollakin muulla tavalla.

Käyttäjän pii3719 kuva
Pertti Ikonen

Petteri Järviselläkin (tekee mm. tietoturvakonsultointia) on asiasta kerrottavaa :

http://pjarvinen.blogspot.fi/2017/11/pankki-voitti...

Käyttäjän PeliSuomi kuva
Pertti Lindeman

Kiitos kaima, tätä odotin ja samaan loppupäätelmään tuli Petteri Järvinen. Juttu on vietävä Hovioikeuteen, joa Korkeimpaan oikeuteen.

Toimituksen poiminnat

Tämän blogin suosituimmat kirjoitukset