Muistanette kirjoitukseni Nordean tunnuslukusovelluksen (ja muiden vastaavien) tietoturvaongelmasta keväältä? Asia ei oikein edennyt julkisuuden, eikä Nordean kautta, joten päätin ottaa yhteyttä suoraan CertFi tietoturvaongelmailmoituksen kautta. Eipä etene sielläkään asia, sain nimittäin tämmöisen vastauksen:
Kiitos yhteydenotosta. Testien perusteella Nordean sovellus tosiaan näyttää kirjautumisen kohteen, mutta ei erillistä yksilöllistä kirjautumistunnistetta per kirjautumisyritys. Tämä ei sinänsä kuitenkaan mahdollista tunkeutumista suoraan verkkopankkiin (tai esiintymään käyttäjän nimissä tunnistautumisen kautta) ilman käyttäjän aktiivisia toimia ja/tai epätarkkuutta kirjautumisten hallinnassa. Vastaavalla tavalla toteutettuja monivaiheisen kirjautumisen todennuksia liikkuu paljon, joten sinänsä toimintamalli ei ole poikkeuksellinen tai turvaton itsessään. Tämän johdosta emme näe tässä tarvetta haavoittuvuuskoordinoinnin käynnistämiseen osaltamme.
Mielenkiintoinen näkemys, että tuo ei olisi ongelma. Nimittäin, kun mobiilivarmennetta aikoinaan suunniteltiin, tuo nimenomainen asia katsottiin tietoturvaongelmaksi ja se korjattiin siten, että mobiilivarmenteen käyttöön lisättiin yksilöivä tunnus, jolla käyttäjä voi varmistaa, että on hyväksymässä juurikin sen asian, mitä haluaa hyväksyä, eikä jotain ihan muuta.
Kuitenkin, kun sama tietoturvaongelma vaivaa Nordean (ja muiden pankkien) kirjautumissovelluksia täsmälleen samassa "vahvassa sähköisessä tunnistautumisessa", niin nyt se ei sitten olekaan mikään tietoturvaongelma, eikä sitä tarvitse korjata.
Aha.
No miksi se sitten oli sitä mobiilivarmenteen osalta ja se katsottiin tarpeelliseksi korjata, ennen kuin mobiilivarmenne lanseerattiin laajaan käyttöön?
Niih.
Tällä tasolla mennään taas kerran Suomessa. Tietoturvasta ei välitetä vittuakaan, eikä ketään kiinnosta vittuakaan. Sitten ihmetellään taas, kun jotain sattuu, että mitenkäs näin pääsikään tapahtumaan.
PS. Monet ns. phishing hyökkäykset verkkopankkeja vastaan (ts. käyttäjien kusetukset esim. valepoliisisoitot jne.) tyssäisivät juurikin tähän varmistukseen, koska kusetettu käyttäjä voisi tajuta, että hänen hyväksyttäväkseen tulee hänen sovellukseensa jonkun muun tekemä kirjautuminen! Sovelluksessa voisi vielä lukea isoilla punaisilla kirjaimilla "Jos et ole ITSE suorittanut tätä kirjautumista omasta aloitteestasi, hylkää kirjautuminen!", jotta tyhmempikin ymmärtäisi, että kusetushyökkäys on menossa. Mutta nähtävästi tämä ei kiinnosta ketään. Ei siinä sitten mitään.