Sikkerhetsforskere ved universitetet i Bergen, under ledelse av professor Kjell Jørgen Hole, har dermed nå ved to anledninger avdekket alvorlige sikkerhetshull ved BankID-systemet.
Kredittilsynet ble umiddelbart varslet og sikkerhetshullet ble tettet i midten av januar.
Brukte én dag på å bryte seg inn
Det var en doktorgradsstudent som testet de nye sikkerhetssystemene i BankID:
- Resultatet var nedslående, forteller professor Kjell Jørgen Hole.
- Studenten brukte bare en arbeidsdag på å utvikle et nytt dataprogram som viste at BankID fortsatt var usikkert.
Likevel ikke sikkert
Etter at forskerne i fjor høst viste at hackere kan få tilgang til nettbankene ved hjelp av bankenes eget system for identifikasjon, skrev Finansnæringens Hovedorganisasjon og Sparebankforeningen et brev til Stortingets finanskomite, der det ble sto at "BankID er sikkert, og kundene kan være helt trygge når de benytter BankID”.
Finansnæringens Hovedorganisasjon sa den gang til NRK at forskerne ikke hadde innblikk i alle sikkerhetssystemene til bankene og at forbrukernes penger var helt sikre.
Les mer:
Men forskerne mener altså at bankenes sikkerhetssystemer fortsatt ikke holder.
- Når vi kan bryte oss inn så raskt, er det overhodet ikke bra. Det er mange der ute med kriminelle hensikter som er mye flinkere enn oss, sier professor Hole til NRK.
- Ekstern revisjon av BankID
Forbrukerrådet ber nå om en tredjeparts kontroll av sikkerheten rundt elektronisk signatur/nasjonal ID.
- Dette kontrollorganet bør på plass snarest, og bør også være operativt og med i bestemmelsene om hvem som får tildelt ansvaret for en elektronisk signatur /nasjonal ID, sier Forbrukerrådets direktør, Erik Lund-Isaksen.
- Kontrollorganet må også ha sanksjonsmuligheter, understreker Lund-Isaksen. Da vil man også tydelig ha plassert ansvar. Så lenge sanksjonene ikke er på plass, vil bankene først og fremt tenke på brukervennligheten.
