Allvarlig brist i Handelsbankens internettjänst?

Tråden skapades och har fått 12 svar. Det senaste inlägget skrevs .
1
  • Medlem
  • Stockholm
  • 2004-11-10 01:04

När man gör en överföring med Handelsbankens internettjänst sparas en fil ned namnet debug_cms.der direkt på hårddisken på en dator med Mac OS X, alltså inte ens i den aktuella användarens mapp. Det är illa nog!

Problemet är också att den textfilen innehåller en hel del konfidentiell information:

• Kontonummer för det konto från vilket betalningen skedde
• Text på avsändarens kontoutdrag
• Vilket belopp som skickades
• Bank till vilken beloppet skickades
• Kontonummer för det konto till vilket betalningen skickades
• Text på mottagarens kontoutdrag
• Referensnummer för transaktionen
• Betalningsavsändarens personnummer

Sådan information är konfidentiell och ska inte spridas vidare. Såvitt jag kan se är filen debug_cms.der ett allvarligt säkerhetshål i Handelsbankens internettjänst.

Har du mailat å påpekat detta?

  • Medlem
  • Uppsala
  • 2004-11-10 07:05

Har du den senaste versionen av säkerhetsprogrammet? Dom fixade till det här hålet i en uppdaterad version av deras programvara för Mac:en.

  • Medlem
  • Stockholm
  • 2004-11-10 17:05

Varför har inte Handelsbanken informerat sina kunder om det då? Det borde de självklart ha gjort. Det är ju en viktig säkerhetsfråga.

Jag skrev så här till supporten på Handelsbanken:

---------------------------

Hej där!

Vet du om att den ena nedladdningslänken fortfarande pekar på den gamla versionen? Alltså, om man väljer Kom igång > Ladda ner och installera > Ladda ner säkerhetsprogrammet nu kommer man till rätt fil:

http://www.handelsbanken.se/shb/inet/icentsv....

Men om man väljer Kom igång > Utförligare beskrivning > Ladda ner säkerhetsprogrammet nu kommer man till:
http://www.handelsbanken.se/shb/inet/icentsv....

Fel fil alltså: gamla versionen! Testa så får du se.

Hur kan det komma sig att de andra bankerna har löst det här så smidigt, men att Handelsbanken fortfarande hänger kvar vid en gammal lösning som kräver att användaren installerar ett säkerhetsprogram på datorn? Jag tänker främst på Nordea och SEB. Där funkar det ju snabbt, säkert och enkelt för användaren.

Byt genast till en modern säkerhetslösning som funkar med alla webbläsare och alla plattformar! Det är ju en massa krångel varenda gång Microsoft uppdaterar Internet Explorer eller när Netscape kommer med en ny version. Netscape 7.2 för Mac OS X funkar ju t ex inte, utan bara version 7.1, och vad jag vet funkar Handelsbankens internettjänst inte alls med Linux i och med att säkerhetsprogrammet bara finns för Windows och Mac.

Vänliga hälsningar

osv

---------------------------

Varför ligger den gamla versionen kvar om den inte funkar? Nu kanske de testar sin webbplats bättre.

  • Medlem
  • Uppsala
  • 2004-11-10 18:26

Tycker oxå Handelsbankens agerande när det gäller det här är dåligt. Jag påpekade detta med filen för ett bra tag sedan och fick då ett mail att jag skulle hämta version 3.5.1. Har inte reflekterat över att man fortfarande kan "råka" ladda hem den gamla programvaran beroende på vilken väg man går. Riktigt dåligt av Handelsbanken!!

Jag startade samma tråd för någon månad sedan. Det visade sig då att SHB åtgärdat detta. Trots två brev till supporten tidigare i år så hade ingen meddelat mig att det var fixat. Deras banktjänst innefattar ju en meddelandetjänst så varför inte lägga upp ett meddelande att de med fel version ska uppgradera sig?

  • Medlem
  • Stockholm
  • 2004-11-10 20:01
Ursprungligen av Anders Täpp:

Jag startade samma tråd för någon månad sedan. Det visade sig då att SHB åtgärdat detta. Trots två brev till supporten tidigare i år så hade ingen meddelat mig att det var fixat. Deras banktjänst innefattar ju en meddelandetjänst så varför inte lägga upp ett meddelande att de med fel version ska uppgradera sig?

Och fortfarande ligger det felaktiga programmet kvar intakt. Undrar hur många procent som installerar version 3.5 och inte version 3.5.1?

  • Medlem
  • 2005-01-17 16:07

Ännu mer skrämmande

Upptäckte till min fasa att det var mycket värre än det som beskrivits ovan.

Jag hade tidigare 3.5.0.1 installerad och den versionen skrev ner debug-information till console.log, speciellt information gällande signeringen.

Och den skrev lösenordet/PIN-koden i klartext!

Installerade 3.5.2 efter att ha fått information att det fanns en ny version på det här forumet och den nya versionen skriver inte ner informationen till console.log verkar det som. Rensade även bort de loggar som jag hade liggande på datorn.

jösses...

Tacka vet jag FSB. Älskar deras Internet Bank.

  • Medlem
  • Sollentuna
  • 2005-01-18 22:22

Ja, och som om inte bara det räckte... Om man vill ha 7.1 bdp (bundle distribution protocol/bandwidth delay product?) så fungerar inte SHB. Dom verkar jämföra (återigen) på namn/modell och inte funktion. Suck!

  • Medlem
  • International user
  • 2005-04-14 19:14

OK... Det ÄR alltså andra användare som haft problem med denna tjänsten.
Här är mitt email till Handelsbanken. Min sinnersstämning i skrivande stund är minst sagt påtaglig.

Hej.
Er internet tjänst till Macintosh är nog något av det sämsta jag kört på väldigt länge.
Den är föråldrad och skickar en tillbaka till ung. år 1999.

För det första var det ett mindre äventyr att installera Handelsbankens säkerhetsprogram.

Detta stöder endast det gamla Mac-systemet OS9. Till råga på allt är man tvungen att installera
en stenålders-version av Netscape - och den var banne mig inte lätt att få tag i, eftersom Netscape
har uppgraderats flera gånger om, antagligen sedan ni skapade denna tjänst. Kanske dags att uppdatera?

Vad händer sen?
Jo, efter ung. två timmars knepande och knåpande lyckades jag äntligen ta mig ända fram till
sidan för att betala mina räkningar. Allt fixat, klicka "Utför" ... programmet kraschar, stänger av sig, alla inställningar borta.
Jag öppnar min stenålders-Netscape igen, loggar in, tar mig till samma sida, skriver in alla räkningar igen, klickar
"Utför"... ett fönster kommer fram! Dags att underteckna/signera! Det verkade ju gå vägen den här gången...hmmm fönstret förblir tomt...
En dialog-ruta poppar nu fram med meddelandet att den nya sidan inte kan visas eftersom jag inte har en viss Plug-In som Netscape behöver. Netscape erbjuder sig att söka upp plug-in:en åt mig.
"Tyvärr, plug-in:en finns inte längre att få tag i, eftersom denna version av Netscape är för gammal"

Som mac-användare kan jag alltså inte använda er internet tjänst när allt kommer till kritan.
Och det irriterar mig något alldeles fantastiskt mycket att jag var tvungen att spendera
två timmar av mitt liv, för att få veta detta!

Jag undrar...
Ska det verkligen vara så här? Eller har jag helt och hållet missat nåt?
Det är nog mycket möjligt eftersom jag inte är nån direkt expert på det här med datorer, som mac-ägare är man ju så van vid att allt bara funkar. Det är nåt man LIDER för mer och mer nu för tiden.
Ett halvhjärtat försök att tillgodose oss mac-användare är nästan värre än inget försök alls!

Tanken med att betala på internet är ju att det ska vara snabbt och smidigt...
Sen hela upplägget med säkerhetsprogram och hela köret verkar även det helt föråldrat,
eftersom tjänsten är bunden till det gamla program som krävs - därmed bunden till den dator
som det är installerat på. En annan fördel med internet bank - som då går förlorad - är att man ska
kunna betala räkningar vart man än befinner sig!
Synd.

Ashuram... förstår inte riktigt vad du far efter. Jag tolkar din text som att du kör OS 9. Då kanske du inte ska anklaga SHB för att vara omoderna.

1
Bevaka tråden