Sikkerhetsekspert begynte å le da han så DNBs oppfordring til kundene

[Gjest Slettet-376f9]

Mitt tok slutt i 1989. Da kostet det ~9 kroner å betale med VISA-kortet deres.

[G]

Går vel an å be en av utviklerne internt på bruket til å sette opp et grensesnitt hvor det ikke finnes et CC-felt og at mottakerfeltet kun kan holde på en @ (alfakrøll). Samt at BCC finnes some et felt i e-post-grensesnittet.

[LaKilla]

Vel, det står nå i artikkelen at de hadde forsøkt å kontakte kundene gjennom melding i nettbanken, og per SMS, før de tok steget å gikk til telefon og så e-post.

 

Sier ikke at det var rett fremgangsmåte, men kan jo forstå DNB også på sett og vis.

Hadde jeg vært banksjef, så ville jeg bare anmodet om å sette på en midlertidig sperre på kontoen, bankkort or hele sulamitten inntil kunden logget inn i nettbanken og oppdaterte personopplysningene. Det burde ikke være så vanskelig, selv om det kanskje ville involvere noe manuelt arbeid involvert i opphevelsen av sperrene.

 

Det er kanskje "brutalt" å sperre konto og kort til kunder som ikke oppdaterer personopplysninger, men har du forsøkt med melding i innboksen og sms (hvor jeg antar at kunden har blitt oppfordret om å logge inn i nettbank å oppdatere personopplysningene), så mener jeg kunden har bedt om å bli midlertidig utestengt fra sine egne konti og kort.

[linux-fan]

 

 

Kunne de ikke bare hatt et skjerma man blir presentert ved innlogging i nettbanken?

Det er nettopp det de har: Med jevne mellomrom må jeg bekrefte kontaktinformasjon og adresse når jeg logger inn i nettbanken (hos DNB), så jeg forstår virkelig ikke hvorfor de har sendt ut forespørselen på denne måten.

Fordi dette sikkert er snakk om bestemødre og -fedre som aldri logger inn i nettbanken.

 

Spørsmålet er hvorfor DNB ikke bare henter opplysninger fra folkeregisteret?

 

Hvis de ALDRI logger inn så er kanskje det sikrest å stenge mulighet for å logge seg inn også?

Bare noe de har fått uten om å be om det.

Ja, folkeregister er da vanlig å vaske data mot i andre firma, men kanskje DnB ikke vil betale for datavask?

[kringon1]

Vel, det står nå i artikkelen at de hadde forsøkt å kontakte kundene gjennom melding i nettbanken, og per SMS, før de tok steget å gikk til telefon og så e-post.

 

Sier ikke at det var rett fremgangsmåte, men kan jo forstå DNB også på sett og vis.

Hadde jeg vært banksjef, så ville jeg bare anmodet om å sette på en midlertidig sperre på kontoen, bankkort or hele sulamitten inntil kunden logget inn i nettbanken og oppdaterte personopplysningene. Det burde ikke være så vanskelig, selv om det kanskje ville involvere noe manuelt arbeid involvert i opphevelsen av sperrene.

 

Det er kanskje "brutalt" å sperre konto og kort til kunder som ikke oppdaterer personopplysninger, men har du forsøkt med melding i innboksen og sms (hvor jeg antar at kunden har blitt oppfordret om å logge inn i nettbank å oppdatere personopplysningene), så mener jeg kunden har bedt om å bli midlertidig utestengt fra sine egne konti og kort.

 

Det problematiske her er at banken har ikke noen som helst kontroll på at de skjemaene som kommer inn til banken, per post slik instruksjonen er, faktisk er sendt fra kunden

 

Sikker kommunikasjon baserer seg først og fremst på prinsippet om at både sender og mottaker er sikre på at den andre part er den man tror den er. (Dette skjer ved oppkobling av alle sikre protokoller, være seg for internetttrafikk eller avtaleinngåelser face-to-face).

 

Siden banken her eksplisitt har varslet, og har for tradisjon å advare om, at forespørseler om personopplysninger som stammer fra eposter er å anse som svindel PLUSS at de ber om at kunden svarer via vanlig post, der avsender strengt tatt kan være hvem som helst, viser at de som har prøvd å løse problemet de har ikke har særlig forståelse for behovet for sikker kommunikasjon eller prinsippene rundt det.

[Nobunaga]

 

 

Spørsmålet er hvorfor DNB ikke bare henter opplysninger fra folkeregisteret?

Er e-postadresser og telefonnumre registrert i folkeregisteret?

Godt poeng.

nja... eposten har de vel siden de har sendt epost.

Hvis den er feil, vil det neppe hjelpe å bruke den for å spørre om den riktige :-)

[Nobunaga]

Dette er nesten ikke til å tro!

Ikke bare gjør de noe så ekstraordinært stupid – de forstår ikke engang i ettertid hvor dumt det er! Er det mulig?

[quantum]

Ikke bare gjør de noe så ekstraordinært stupid – de forstår ikke engang i ettertid hvor dumt det er! Er det mulig?

 

Virkeligheten overgår alltid fantasien ...

[mmm...]

DNB er ikke alene om å gjøre slike tabber. Paypal har også kommet med noen horrible meldinger den siste tiden som jeg først var sikker på at var forsøk på phishing, men etter å ha rapportert dem fikk beskjed om at det var legitime meldinger.

[Gjest Slettet-376f9]

DNB er ikke alene om å gjøre slike tabber. Paypal har også kommet med noen horrible meldinger den siste tiden som jeg først var sikker på at var forsøk på phishing, men etter å ha rapportert dem fikk beskjed om at det var legitime meldinger.

Helt seriøst: er du 100 % sikker på at det var PayPal du snakket med?

[Frobe]

DNB er ikke alene om å gjøre slike tabber. Paypal har også kommet med noen horrible meldinger den siste tiden som jeg først var sikker på at var forsøk på phishing, men etter å ha rapportert dem fikk beskjed om at det var legitime meldinger.

 

Tenker du på disse?

_________________________________________

 

PayPal-kontoen din i oktober  

Hei, Fornavn Etternavn

Husk at du alltid kan se de siste kontobevegelsene på PayPal-kontoen din. Det er bare å logge på paypal.no for å få full oversikt.

__________________________________________

Endret 28. oktober 2016 av Frobe

[zfc]

Forstår jeg situasjonen rett, så har de forsøkt innsamling av informasjon både i nettbanken og på telefon, og går nå til brev. De kunne løst det mer smidig om de i stedet for å be kunden om å returnere informasjonen via brev, så kunne de skrevet i brevet at kunden må logge inn i nettbanken og oppdatere informasjonen selv. Da når man ut til alle, og man bevarer sikkerheten.

[ryback]

...Det er synd at DnB ikke har råd til å ansette kompetente folk med god etikk og moral...

 

Det er faktisk omvendt. Etikk og moral koster penger, ref panama papers, sosial dumping osv.

[MrVilla]

Dette var lite imponerende av DNB uansett hvordan man snur og vender på det, og som en nevnet nedenfor her i kommentarfeltet så er det meget bekymringsfullt at dem ikke innser at dette er feil.

En ting er å gjøre en feil, noe helt annet er å påstå at det er rett når alle andre påpeker det! Glad for at min konto i DNB er avsluttet.

[mmm...]

 

DNB er ikke alene om å gjøre slike tabber. Paypal har også kommet med noen horrible meldinger den siste tiden som jeg først var sikker på at var forsøk på phishing, men etter å ha rapportert dem fikk beskjed om at det var legitime meldinger.

 

Tenker du på disse?

_________________________________________

 

PayPal-kontoen din i oktober  

Hei, Fornavn Etternavn

Husk at du alltid kan se de siste kontobevegelsene på PayPal-kontoen din. Det er bare å logge på paypal.no for å få full oversikt.

__________________________________________

 

Jepp. Jeg synes det er unødvendig å ta med lenker i slike meldinger fordi de kan manipuleres på måter som er vanskelige for hvermansen å oppdage. Det er fint å minne meg på at jeg kan finne informasjon om ditt og datt, men å finne frem til kjente nettsteder vil jeg helst ikke ha hjelp til.

[mmm...]

 

DNB er ikke alene om å gjøre slike tabber. Paypal har også kommet med noen horrible meldinger den siste tiden som jeg først var sikker på at var forsøk på phishing, men etter å ha rapportert dem fikk beskjed om at det var legitime meldinger.

Helt seriøst: er du 100 % sikker på at det var PayPal du snakket med?

 

Ja jeg er relativt sikker fordi adressen jeg sendte klagen til var en adresse jeg selv hadde lagret, og både SMTP-headere og kryptografiske signaturer i responsen var ok.