Pensionsmyndigheten avslöjar stor säkerhetsbrist i sin implementation av Bankid

Pensionsmyndigheten avslöjar stor säkerhetsbrist i sin implementation av Bankid. Ja, så ser det ut. Det är väldigt korkat av dem att avslöja knepet i en debattartikel - där de dessutom skäller på Åklagarmyndigheten för att de inte lappar ihop den dåliga säkerheten i efterhand!

http://www.svd.se/pensionsfifflare-u...ingsliv:debatt

"Innan samtalet har säljaren startat en inloggning hos Pensionsmyndigheten genom att ange pensions*spararens personnummer. När spararen sedan startar sitt *mobila e-leg ligger säljarens inloggning först på kö. Spararen loggar då ovetandes in försäljaren,"

Testa själv: gå till http://www.pensionsmyndigheten.se/Premiepension.html
välj att logga in med mobilt bankid
Då står det något i stil med: "I identify myself at
Pensionsmyndigheten"

Leta efter någon angivelse om att det är just din inloggning, på din dator/platta, med din applikation och ditt ip som det gäller. Det finns inte någon sådant. Det står inte heller något om plats i kö.

I just detta fall har Pensionsmyndigheten, uppger de i artikeln, fixat säkerhetsbristen ad hoc genom att lägga till ännu en feature, vilket är helt fel metod och verkligen korkat:

"Från Pensionsmyndighetens sida har vi försvårat hanteringen genom att kräva ytterligare en signering av själva fondbytet – att bli ombedd att bekräfta fondbytet kan ge en signal till pensionsspararen att något är på tok."

Läs det igen. "kan ge en signal".

Inkompetensen är gränslös, och för bedragare som saknade fantasin, är det nu fritt fram att prova olika myndigheter och företags bristfälla implementation av bankid på sina webbsidor, och om de har något kösystem

För de som testar säkerhetsluckan med ett kösystem: notera att det inte är bankid själva som har ett så dåligt implementerat kösystem. Om någon försöker göra flera samtidiga inloggningar via bankid so inträder funktioner som avbryter inloggningarna.

Nej, det är Pensionsmyndigheten själva som har ett kösystem på sin webbserver, INNAN anrop av bankid.

Bedragaren har alltså bara att fylla i personnummer och välja inloggning med bankid, och sedan vänta med att trycka på return tills offret lurats att starta sitt mobila bankid innan offret gör sin egen inloggning.

Timingen ska alltså vara ungefär
- offret startar mobilt bankid app
- bedragare loggar in med bankid på webbsida
- offer förbereder sig att logga in med bankid
- offer ser att bankid aktiverats och ber om kod, tror att det beror på den egna inloggningen, men det är i själva verket frågan om bedragarens inloggning...

Ur artikeln:


Om nu säljaren först säger att han ska titta på innehavet, och om privatpersonen därefter följer instruktionerna från säljaren (starta bank-id), då är väl privatpersonen både informerad om vad som är på gång att ske, såväl som medveten om vad som sker då han aktivt gör vad säljaren säger?

Så hur är privatpersonen lurad egentligen?

Själv hade jag sagt nej tack, alternativt inte sagt något alls när säljarsvinet ringt upp. Jag hade inte startat bank-id....

Privatpersonen ges av bankid-applikationen intrycket av att det är en säker inloggning. Men som sagt är allt som står "I identify myself at
Pensionsmyndigheten"
- det kan lika gärna vara en bedragare som du hjälper att logga in, om denne har tillgång till en webbläsare och något så publikt som ditt personnummer.

Så man kan som åklagaren tydligen gjort argumentera för att privatpersonen inte alls är lurad. Och detta visar tydligt en gigantisk säkerhetsbrist i implementationen av bankid. En säkerhetsbrist som pensionsverket troligen gör värre genom sitt kösystem.

Att kräva separat signering vid en ändring är vad de borde gjort från första början, och det är exakt så systemet är tänkt fungera. Det dumma har varit att inte ha det från början.