Rekisteröidy
AfterDawn logo

S-Pankin tietoturva petti rankasti, kirjautuminen toisten tileille oli mahdollista kuukausien ajan

S-Pankin tietoturva petti rankasti, kirjautuminen toisten tileille oli mahdollista kuukausien ajan
Petteri Pyyny Petteri Pyyny

Vuoden pahimmaksi kotimaiseksi tietoturvakatastrofiksi osoittautunut S-Pankin moka on osoittautumassa vielä ensi tietojakin hirveämmäksi.

Jostain syystä S-Pankin laadunvarmistuksessa työskentelevät ihmiset sekä epäilyttävää toimintaa seuraavat asiantuntijat ovat onnistuneet ummistamaan silmänsä useiden kuukausien ajan pankin tietoturvan valtavalle aukolle.

Uutistietojen mukaan useiden satojen S-Pankin asiakkaiden tunnuksilla on jostain syystä onnistuttu tunnistautumaan täysin toisena henkilönä sisään sekä S-Pankin omiin palveluihin että pankkitunnuksia tunnistautumiseen käyttäviin ulkopuolisiin palveluihin. Koska Suomen digiyhteiskunta toimii käytännössä verkkopankkien tunnistautumisen varassa, ovat kyseiset asiakkaat voineet vapaasti kirjautua muiden ihmisten nimissä niin OmaKannan tyylisiin viranomaispalveluihin kuin vaikkapa pikavippejä tarjoaviin palveluihin.

S-Pankin mukaan ongelma on johtunut yksittäisestä ohjelmistokomponentista ja se on avannut ovet "joillekin sadoille" käyttäjille siten, että he ovat voineet kirjautua muidenkin kuin itsensä nimissä.


Ainakin joissain tapauksissa tietoturva-aukon avulla on varastettu ihmisten tileiltä rahaa. S-Pankki myös selvittää, onko tunnistautumista käytetty vilpillisesti myös ulkopuolisissa palveluissa. Tähän on ollut täysi mahdollisuus, mutta vahvan tunnistautumisen pelisääntöjen mukaan kukin toimija joutuu tarkistamaan omat käyttäjäloginsa asian selvittämiseksi.

Vaikka S-Pankki kuvaa tilannetta viestinnässään "häiriöksi", on nyt selvinnyt tilanne täysin S-Pankin itsensä ja sen prosessien syytä. Pankkijärjestelmien ohjelmistot ovat toki monimutkaisia, mutta niitä myös säädellään vahvasti - ja niiden laadunvarmistukseen ja jatkuvaan testaamiseen pitäisi jokaisen alan toimijan panostaa. Verkkopankeille on lainsäätäjän taholta annettu oikeus olla yksi digitaalisen yhteiskunnan kulmakivistä vahvan tunnistautumisen muodossa, joten nyt paljastunut ongelma romuttaa osittain kuluttajien luottamusta järjestelmän turvallisuuteen. Syystäkin, ainakin S-Pankin osalta.

TÄMÄN UUTISEN KOMMENTOINTI ON PÄÄTTYNYT