Nye innbrudd i nettbanker med BankID

Professor ved Universitetet i Bergen har avdekket nye sikkerhetshull ved BankID-systemet.

Etter at professor Kjell Jørgen Hole ved universitetet i Bergen i fjor høst viste at hackere kan få tilgang til nettbankene ved hjelp av bankenes eget system for identifikasjon, skrev Finansnæringens Hovedorganisasjon og Sparebankforeningen et brev til Stortingets finanskomite, der det ble slått fast: «BankID er sikkert, og kundene kan være helt trygge når de benytter BankID».

Digitale signatur skal brukes til å knytte personer til digitale dokumenter eller legitimere personer på internettet, såkalt e-legitimasjon.

I dag er BankID et lukket system, der næringen ikke har vært villig til å gi eksterne tilgang til å kontrollere sikkerheten.

Nå har et lag sikkerhetsforskere ved universitetet i Bergen, under ledelse av Hole på nytt klart å bryte seg inn i to nettbanker. Det skjedde på nyåret ved hjelp av bankenes system for identifikasjon, BankID.

Kredittilsynet ble også denne gangen umiddelbart varslet og sikkerhetshullet ble tettet i midten av januar, står det på Forbrukerportalens hjemmeside.

Det var en doktorgradsstudent som testet de nye sikkerhetssystemene i BankID og som bare brukte en arbeidsdag på å utvikle et nytt dataprogram som viste at BankID fortsatt er usikkert.

Forbrukerrådet ber nå om en tredjeparts kontroll av sikkerheten rundt elektronisk signatur og nasjonal ID.

- Dette kontrollorganet bør på plass snarest, og bør også være operativt og med i bestemmelsene om hvem som får tildelt ansvaret for en elektronisk signatur /nasjonal ID, sier Forbrukerrådets direktør, Erik Lund-Isaksen.

Forbrukerrådet tar ikke stilling til hvilken teknisk løsning som bør velges som nasjonal ID.

- Vi mener at den løsningen som velges bør være gjenstand for en nøytral tredjeparts kontroll for å oppnå betryggende sikkerhet rundt systemet, opplyser Lund-Isaksen.

Bankene har lansert sin egen BankID som kandidat til nasjonalt ID for signatur-system.

Forbrukerrådet mener at BankID derfor allerede nå bør tillate tredjepartskontroll av sikkerheten i systemet. Forbrukerrådet stiller for øvrig det samme kravet om nøytral tredjepartskontroll til andre aktuelle systemer for nasjonal elektronisk ID.

    Les også:

Til toppen