Ifølge det svenske datatilsyn, Datainspektionen, er der alvorlige sikkerhedsbrister i både Nordea og Danske Banks apps til netbank på mobilen. Hackere kan for let skaffe sig adgang til de meget private oplysninger fra bankernes kunder, skriver svenske svt.se.
Hvis nogen får tiltusket sig brugerens personnummer og pinkode, så kan der logges på netbanken fra en hvilken som helst smartphone med bankens app.
Kundens penge er ikke i fare ved at sådant angreb, men adgangen til netbanken betyder samtidig adgang til en hel række meget personlige oplysninger, som kan misbruges i de forkerte hænder, siger Adolf Slama, it-sikkerhedsekspert hos Datainspektionen.
- For eksempel hvad har du købt, har du været hos en læge og betalt en lægeregning, hvor meget får du i løn, og hvilke lån har du, siger han til SVT.
Under luppen i længere tid
Datainspektionen har i en periode haft bankernes mobilapp under luppen for potentielle sikkerhedsbrister. Danske Bank, Nordea og Handelsbanken havnede i søgelyset og er blevet bedt om at fremlægge forslag til forbedringer af sikkerheden.
Både Handelsbanken og Nordea foreslår, at brugerens brug af mobilbanken begrænses til én telefon, og det har Datainspektionen sagt god for.
Danske Banks løsning ikke accepteret
Men tilsynet synes derimod ikke, at Danske Banks løsning på sikkerhedsproblemet er god nok.
Banken vil gøre adgangen til mobilbanken mere sikker ved at bruge kundens eget adfærdsmønster som en del af adgangskoden.
Altså brugerens unikke måde at taste koden ind - hastighed og hvor hårdt man trykker på skærmen - skal sammen med pinkoden sørge for, at uvedkommende ikke kan få adgang til de personlige oplysninger i netbanken.
Ikke godt nok
Men det er ikke godt nok ifølge det svenske tilsyn. Datainspektionen kræver, at Danske Bank senest i anden halvdel af 2014 fremsætter et nyt forslag til forbedring af sikkerheden.
- Vi kommer til at følge op på sagen. Hvis de ikke ændrer noget, så kan vi forbyde deres app, siger Adolf Slama.
Danske Bank skriver i en e-mail til SVT, at banken nu vil overveje om de skal acceptere Datainspektionens afgørelse eller klage over den.
Datainspektionen håber, at andre banker vil bruge anledningen til at se nærmere på sikkerheden i deres version af mobilbanken.
/ritzau/