Según S-bank, el problema afectó a un grupo tan pequeño que no se notó en sus propios sistemas.
Según S-bank, tomó meses notar el problema porque se trataba de un grupo tan pequeño. antti nikkanen
El experto en seguridad de datos Petteri Järvinen describe el problema de seguridad de datos de S-bank como «increíble». Es especialmente extraño cómo el problema no se notó pronto.
S-bank anunció el martes que hubo un error del sistema en su identificación que duró de abril a agosto.
Durante unos cuatro meses, algunos clientes tuvieron la oportunidad de iniciar sesión en el banco en línea de otro cliente. La perturbación se usó, entre otras cosas, para transferir dinero de cuentas y se usaron credenciales bancarias en línea para identificarse en varios servicios en línea.
– Solo el sentido común dice que el problema debería haberse detectado al menos porque las personas se comunican con nosotros con más frecuencia que antes y preguntan por qué se ha perdido dinero de la cuenta, dice Järvinen.
Afirma que la empresa debería haber notado el creciente número de contactos al monitorear los comentarios de los clientes.
Según el experto en seguridad de datos Petteri Järvinen, es sorprendente que el asunto no haya llamado la atención del banco antes. JOEL MAISALMI
En Finlandia, las credenciales bancarias en línea son una parte esencial del sistema electrónico. Se utilizan para iniciar sesión no solo en servicios bancarios sino también en otros sistemas y pueden ver información de salud, por ejemplo. Las credenciales de la banca en línea también se utilizan para las firmas electrónicas y, al confiar en su sólida identificación, puede firmar préstamos y otros contratos por sí mismo.
– En un nivel fundamental, este es un problema asombroso. La identificación electrónica, que es el pilar de la sociedad finlandesa de seguridad de la información, está rota y nadie lo nota, se pregunta Järvinen.
El asunto llamó la atención de S-bank a principios de agosto cuando un llamado hacker de sombrero blanco notó el problema y se lo comunicó al banco. Los piratas informáticos de sombrero blanco son aquellos que usan sus habilidades para el bien y las usan para brindar información sobre tales vulnerabilidades y perturbaciones del sistema.
«Un grupo pequeño»
Director de S-bank responsable de desarrollo digital por Carl-Edvard Holmberg según el informe, tomó varios meses detectar la perturbación, porque se trataba de un grupo tan limitado.
– Por supuesto, cada uno de estos casos es demasiado. Estamos hablando de unos pocos cientos de clientes, y solo algunos de ellos fueron registrados en el banco en línea por otra persona. Y luego, cuántas cuentas se usaron para posibles transacciones de pago abusivas, estamos hablando de un número aún menor, dice.
Según Holmberg, la interrupción afectó a un número tan pequeño de los más de 3 millones de clientes del banco que no apareció de manera significativa en los datos del banco.
– Ahora que sabemos lo que sucedió, podemos investigar nosotros mismos las transacciones anteriores de los clientes y determinar si se trata de un abuso financiero, dice Holmberg.
S-bank no proporciona información detallada sobre la interrupción, como cuántos clientes se han visto afectados por el problema o qué cantidad de dinero han perdido. Holmberg apela a la investigación policial en curso en su silencio.
El miércoles, la policía anunció que las autoridades estaban al tanto de 53 fraudes con instrumentos de pago relacionados con el caso. Además de estos, hay aproximadamente 150 violaciones de datos bajo investigación. Dos personas sospechosas de abuso han sido arrestadas. Según Iltalehti, uno de ellos tiene solo 16 años.
El jefe de la investigación del caso, el comisario del crimen. Klaus Geiger dicho para mtv, que se sacaron de las cuentas de los clientes un total de 940.000 euros. Según Geiger, el dinero se había gastado en una vida lujosa.
Devoluciones en curso
Petteri Järvinen destaca la relación de poder desigual entre el cliente del banco y la gran institución bancaria. Los bancos tienen acceso a los datos de registro de las transacciones de las cuentas y tienen expertos y abogados a su disposición.
– La superioridad de información del banco es tan grande que el cliente a menudo pierde disputas potenciales, dice Järvinen.
S-bank asegura que en casos de daños relacionados con la perturbación que se está procesando actualmente, el cliente no tiene que probar por separado el daño financiero resultante o incluso presentar una queja sobre los eventos.
– Hemos estado en contacto con todos los afectados. Conocemos a ese grupo de clientes y podemos usar nuestros sistemas para investigar cuáles son posibles eventos de abuso, dice Holmberg de S-bank.
Según Holmberg, S-bank ya ha reparado muchos abusos y el resto se está manejando «lo más rápido posible». No puede dar un horario exacto.
LEA TAMBIÉN
El experto en seguridad de datos Petteri Järvinen pide la responsabilidad de los bancos en la fiabilidad de las identificaciones bancarias en línea.
– Solían ser un medio de firma electrónica y funcionan exclusivamente en base a la confianza, dice Järvinen.
Señala que los propios bancos han querido mantener las identificaciones y la tecnología relacionada bajo su propio control. Otros no han podido desarrollar el sistema.
– Esto enfatiza la responsabilidad del banco por la seguridad, dice.
Según Järvinen, la seguridad de las identificaciones bancarias en línea ha sido «prácticamente inviolable» hasta ahora, y la perturbación ahora revelada socava su estado. Sin embargo, basándose en un solo incidente, Järvinen no diría que las credenciales bancarias en línea son un medio de identificación poco confiable.
– Las identificaciones bancarias tienen un historial de 25 años y hay muy pocos problemas, por lo que no diría que esto los hace poco confiables todavía, pero causa distorsión, dice.
El caso de S-bank demuestra que los bancos “deben estar en constante alerta”.
– Los bancos tienen que cuidar el sistema sin descanso. Tales cosas no deben suceder.