Hyvä Danske Bank! Muuta positiivista en sitten aiokaan sanoa tästä Sampopankin järjestelmäuudistuksesta.

Sampopankin uusi verkkopankki sisältää pankin oman ilmoituksen mukaan uuden tietoturvaratkaisun. Todellisuudessa se sisältää ratkaisun, joka merkittävästi heikentää asiakkaan tietoturvaa - tietosurmaratkaisun. Ensinnäkin tämä Javaa vaativa verkkopankki luo asiakkaan tietokoneelle hakemiston e-Safekey ja tallentaa sinne omia tiedostojaan mitään ilmoittamatta ja lupaa kysymättä. Verkkopankki myös suorittaa ohjelmakoodia tallentamistaan tiedostoista. Kysyn vaan, että millä luvalla tuo pankki asentaa minun koneelleni mitään omia tiedostojaan?

Toinen vakava asia on urkinta, jota tämä asennettu ohjelmakoodi tekee, kun sitä suoritetaan. Miksi Sampopankki haluaa tietää tietokoneeni prosessorien, äänikorttien, kiintolevyjen, muistin, levyosioiden, PCI-väylään liitettyjen laitteiden ja bluetooth-laitteiden tarkat tiedot aina sarjanumeroita myöten? Ja kun tämäkään ei vielä riitä, vaan pitää tietää sekin millä käyttäjätunnuksella kirjaudun koneelleni sisään.

Näin turvallinen on Javalla toteutettu verkkopankki. Jos se tänään on kiinnostunut noista tiedoista, niin mistä tiedän ettei se ole huomenna kiinnostunut jostain muusta tietokoneeni levyllä. Jään odottamaan mielenkiinnolla, miten yritysten tietoturvasta vastaavat mahtavat reagoida tähän troijalaiseen.

Sampopankki tiedotti kovasti siitä miten uusi verkkopankki vaatii Javan käyttöä, mutta eivät he siitä kertoneet, että minun pitäisi antaa heille lupa ajaa tietokoneellani jotain natiivia binääritiedostoa.

Lisätietoja:

• SampoApplet
• Mitä Sampo kaivaa koneestasi