DNB tilbakestiller «noen tusen» passord: Betalingstjeneste fikk tilgang til kundenes BankID-hemmeligheter
DNB mener at betalingstjenesten Skrill bryter vilkårene i BankID-avtalen, og har tilbakestilt passordene for «noen tusen» kunder.
Norges største bank har tilbakestilt passordene til «noen tusen» kunder som har brukt betalingstjenesten Skrill.
Nå må kundene lage seg et nytt, fast passord.
Årsaken er ifølge DNB at Skrill ber kundene logge inn med identifikasjonsløsningen BankID, og dermed får tilgang på hemmelig informasjon.
BankID er en personlig identifikasjonsløsning som blant annet brukes til å logge sikkert inn i nettbanken og til å logge på offentlige tjenester som Skatteetaten.
– Vi har gått ut til kunder som har brukt betalingstjenesten Skrill med informasjon om at selskapet bryter med BankID-avtalen ved å be sine kunder logge inn med BankID, noe som gir Skrill tilgang til kundenes BankID-hemmeligheter, sier informasjonsdirektør Even Westerveld i DNB til E24.
Les også: (+) Børsgigantene banker på døren – og vil kjøpe tilbake aksjene sine
– Vi har måttet resette bankkundenes BankID-passord. Dette har ikke et veldig stort omfang, det gjelder noen tusen kunder. Vi har ingen indikasjon på at kunder er svindlet eller utsatt for noe kriminelt, men vi må ta hensyn til dagens regelverk, sier han.
Nettbetalingsløsningen Skrill het tidligere Moneybookers, og er i likhet med betalingsløsningen Neteller eid av Paysafe Group Limited, tidligere kjent som Optimal Payments Plc.
I Norge bruker Skrill blant annet til transaksjoner knyttet til casinoer på internett, men tjenesten er også brukt innen dataspill og til overføringer til familiemedlemmer i andre land, ifølge Skrills nettsider.
Skrill har ikke svart på E24s henvendelser.
Tilgang til kontoinformasjon
Westerveld sier at Skrill benytter en teknisk løsning som gjør at selskapet får tilgang til de norske kundenes BankID-pålogging, og da får de som tredjepart i praksis tilgang til alt som ligger av informasjon i kundens nettbank.
DNB vurdert i EU-stresstest: Tåler å tape milliarder
– De bruker BankID som identifisering, men på en måte som gjør at kundene gir fra seg sin innloggingsinformasjon, sier Westerveld.
Innfører snart nye regler
Tredjeparter som Skrill eller utenlandske tilbydere av bank- og betalingsløsninger vil kunne få tilgang på bankkunders informasjon etter at PSD2-regelverket er innført i Norge, noe som trolig vil skje i løpet av 2019.
– Når PSD2-regelverket blir innført i Norge vil det være på plass tekniske løsninger for at tredjeparter som Skrill skal kunne logge seg på bankene. Men inntil disse reglene er på plass, må vi sørge for at BankID-informasjon ikke kommer på avveie, sier Westerveld.
– Når PSD2-reglene er på plass vil vi legge til rette for at tjenester som Skrill får tilgang til informasjon som kontonummer, saldo og mulighet til å overføre penger, men så langt er det ikke regulert. Det bryter med BankID-avtalen , og dermed kan vi ikke stå inne for sikkerheten, sier han.
Westerveld peker også generelt på at man må være bevisst på hvilken informasjon man gir fra seg når man bruker tjenester som ikke er autorisert, eller som man ikke er kjent med.
