S-Pankin "järjestelmähäiriö". Miten mahdollista?

S-Pankin johto on varmaan vetänyt kunnon bonareita. Eiköhän sakkojen maksumiehinä ole S-Pankin asiakkaat.

Onkohan kukaan edes saanut kenkää noiden pikku "järjestelmähäiriöiden" takia?

"Asiakkaiden tunnuksilla on kirjauduttu kevään, kesän ja syksyn aikana luvatta sekä pankin että kolmannen osapuolen palveluihin. Verkkopankissa vieraiden katseltavaksi ovat saattaneet joutua muun muassa tilitapahtumat, sopimukset, verkkopankin viestit tai lainatiedot.

Virhe on mahdollistanut väärinkäytökset myös vahvaa tunnistautumista edellyttävissä kolmannen osapuolen palveluissa, joita ovat muun muassa pikavippiyhtiöt, terveystiedot sisältävä Omakanta, Kela, verohallinto sekä

vakuutusyhtiöt."

Läpy läpy, S-pankki!

Vuoden pahin pankkimoga varmasti, ehkä jopa vuosikymmenen. Tilannehan oli päällä ilmeisesti viikkojen ellei jopa kuukausien ajan vaikka asiakkaat olivat reklamoineet asiasta varmaan heti kun ovat huomanneet että joku nusaisi fyrkat tililtä. Tuskinpa mitään yhtä uskomatonta tulee enää tapahtumaan loppuvuoden aikana.

Kuulostaa mukavalta ajanvietteeltä ja harrasteelta ulkomaisille hakkereille. Mites muissa pankeissa, tehdäänkö niissä jotain jopa oikein.

Kuten lukemattomissa ketjuissa jo sanottu niin pelkällä uudella SIM-kortilla ei tee mitään. Pitää olla myös tunnarit, salasana sekä avainlukulista jonka seuraavan luvun pankki lähettää tekstiviestinä aina kun tehdään tilisiirtoa. Uutinen on täysi ankka.

Nämä sadat tunnukset on joko varastettu fyysisesti ihmisiltä jotka asuvat samassa taloudessa tai niitä on kaupiteltu verkon pimeillä kauppapaikoilla sadoittain. Pelkästään sillä että tilaa ihmisen nimissä uuden SIM-kortin ja liittymän ei pääse tilitietoihin millään käsiksi.

Samoin myöskään sillä, että vahingossa näkisikin toisen tilitietoja, ei voi mitenkään tehdä tilisiirtoja tämän nimissä, kun varmistus tulee täysin eri numeroon ja käytössä on täysin eri tunnuslukulista.

Ottaakohan S-ryhmä noilta kolmelta pidätetyltä henkilöiltä S-etukortit pois, ja bonukset myös? Ehkä siis jopa Yhteishyvä-lehden toimittaminen heille keskeytetään joksikin aikaa.

😂😭🤣

tämä siis käytiin läpi jo aamun ketjuissa, mutta todennäköisintähän on että rikollinen (en käytä sanaa hakkeri kun mihinkään ei ole murtauduttu) on esim. saanut keyloggerin avulla satoja kirjautumis- ja salasanakomboja. avainluvuista en tiedä, ehkä kaapattu webcamin tms. kautta?

sitten näitä on kaupiteltu darkwebin kautta, siinä missä luottokorttinumeroita on siellä kaupiteltu kymmeniä vuosia.

eli mitään 'vuotoa' tai 'tietoteknistä ongelmaa' ei ole ollut vaan pankki ei halua myöntää sitä että kirjautumistietoja on varastettu ja ulkomaiset rikolliset ovat hyödyntäneet niistä satoja.

pankki mielummin painaa pään puskaan kuin tiedottaa julkisesti että varastettuja tunnareita voi olla vaikka kuinka paljon lisää, joka johtaisi asiakaspakoon.

Vääntäkää nyt tyhmälle rautalangasta, miten helvetissä pelkillä omilla tunnareilla saatika sitten mainitulla uuden simin tilaamisella voi muka tehdä maksuvaltuutuksia verkkopankissa.

Ei ole varmaan vuoden 2000 jälkeen onnistunut ilman että on tuplavahvistus? Ei siihen riitä pelkkä kirjautuneena olo.

Kysymys kuuluu, että saako jotkut vai jatkaako S-ryhmä samalla poppoolla?

Vierailija kirjoitti:

Kuten lukemattomissa ketjuissa jo sanottu niin pelkällä uudella SIM-kortilla ei tee mitään. Pitää olla myös tunnarit, salasana sekä avainlukulista jonka seuraavan luvun pankki lähettää tekstiviestinä aina kun tehdään tilisiirtoa. Uutinen on täysi ankka.

Nämä sadat tunnukset on joko varastettu fyysisesti ihmisiltä jotka asuvat samassa taloudessa tai niitä on kaupiteltu verkon pimeillä kauppapaikoilla sadoittain. Pelkästään sillä että tilaa ihmisen nimissä uuden SIM-kortin ja liittymän ei pääse tilitietoihin millään käsiksi.

Samoin myöskään sillä, että vahingossa näkisikin toisen tilitietoja, ei voi mitenkään tehdä tilisiirtoja tämän nimissä, kun varmistus tulee täysin eri numeroon ja käytössä on täysin eri tunnuslukulista.

Mitä höpäjät?

Miten tunusten varastaminen aiheuttaa järjestelmähäiriön tai sen että S-Pankille on määrätty miljoonien seuraamusmaksuja jo aiemmin (ja lisää varmaan tulee tämän viimeisen myötä)?

Ja mitä tekemistä SIM-korteilla on asian kanssa? Eihän niiden pankkipalvelujen käyttämiseen välttämättä mitään SIM-kortteja käyttäviä mobiilipäätelaitteita tarvitse.

Miten tuo on oikein siis tapahtunut, kun eihän noin monella voi olla toisen tunnuksia? Niinkö että on kirjautunut omilla tunnuksilla ja päätynytkin toisen tilille? Sitten uteliaimmat ja epärehellisimmät on kokeilleet näkeekö samalla omilla tunnuksilla myös sen toisen Omakannat ja muut? 

Vierailija kirjoitti:

Vierailija kirjoitti:

Kuten lukemattomissa ketjuissa jo sanottu niin pelkällä uudella SIM-kortilla ei tee mitään. Pitää olla myös tunnarit, salasana sekä avainlukulista jonka seuraavan luvun pankki lähettää tekstiviestinä aina kun tehdään tilisiirtoa. Uutinen on täysi ankka.

Nämä sadat tunnukset on joko varastettu fyysisesti ihmisiltä jotka asuvat samassa taloudessa tai niitä on kaupiteltu verkon pimeillä kauppapaikoilla sadoittain. Pelkästään sillä että tilaa ihmisen nimissä uuden SIM-kortin ja liittymän ei pääse tilitietoihin millään käsiksi.

Samoin myöskään sillä, että vahingossa näkisikin toisen tilitietoja, ei voi mitenkään tehdä tilisiirtoja tämän nimissä, kun varmistus tulee täysin eri numeroon ja käytössä on täysin eri tunnuslukulista.

Mitä höpäjät?

Miten tunusten varastaminen aiheuttaa järjestelmähäiriön tai sen että S-Pankille on määrätty miljoonien seuraamusmaksuja jo aiemmin (ja lisää varmaan tulee tämän viimeisen myötä)?

Ja mitä tekemistä SIM-korteilla on asian kanssa? Eihän niiden pankkipalvelujen käyttämiseen välttämättä mitään SIM-kortteja käyttäviä mobiilipäätelaitteita tarvitse.

Tarvitsee. Ei taida olla enää suomalaisia pankkeja jäljellä jotka eivät käytä 2 factor authenticationia (2FA) kun EU-säädös sitä vaatii?

Tarkoittaa siis sitä, että ensimmäinen maksuvaihe toteutetaan tunnuslukulistalla, toinen sillä että tekstiviesti ilmoittaa seuraavan järjestysluvun listalta.

Toki mobiilipankissa riittää pelkkä äpin avaus, mutta sekin voi satunnaisesti pyytää 2FA tunnistautumista.

No joku paha reikähän tuossa tietojärjestelmässä on täytynyt olla ns. vahvan (not) tunnistautumisen suhteen.

Eihän tuollaiset rikokset muuten voi olla mitenkään mahdollisia.

Jos nämä häiriöt on jatkuneet koko kesän niin miksi niistä ei ole tiedotettu julkiseti kovaan ääneen heti kun ne on tulleet tietoon?

Jospa joku tietoturva-asiantuntija arvioisi S-ryhmän toisen tekeleen, s-kaupat.fi, tunnistautumista. Sähköpostiosoitteen tai puhelinnumeron syöttämällä käynnistyy tunnistus, jossa vaaditaan nelinumeroinen tunnusluku. Sen arvaamista pääsee yrittämään kolmesti vaikka ei olisi kyseisen sähköpostin tai puhelinnumeron haltija, joka tosin saa tiedon niistä yrityksistä.

Tuossa on hieman epätavallisen hyvät todennäköisyydet sille että jonkun toisen henkilötietoihin voisi päästä arvaamalla. Yleensä käytetään salasanalla tunnistautumista ennen kuin lähetellään turvakoodia sähköpostina tai tekstiviestinä osana kaksivaiheista tunnistautumista. Mistä lie peräisin tälläinen tunnistautumistapa.

Vierailija kirjoitti:

Vierailija kirjoitti:

Vierailija kirjoitti:

Kuten lukemattomissa ketjuissa jo sanottu niin pelkällä uudella SIM-kortilla ei tee mitään. Pitää olla myös tunnarit, salasana sekä avainlukulista jonka seuraavan luvun pankki lähettää tekstiviestinä aina kun tehdään tilisiirtoa. Uutinen on täysi ankka.

Nämä sadat tunnukset on joko varastettu fyysisesti ihmisiltä jotka asuvat samassa taloudessa tai niitä on kaupiteltu verkon pimeillä kauppapaikoilla sadoittain. Pelkästään sillä että tilaa ihmisen nimissä uuden SIM-kortin ja liittymän ei pääse tilitietoihin millään käsiksi.

Samoin myöskään sillä, että vahingossa näkisikin toisen tilitietoja, ei voi mitenkään tehdä tilisiirtoja tämän nimissä, kun varmistus tulee täysin eri numeroon ja käytössä on täysin eri tunnuslukulista.

Mitä höpäjät?

Miten tunusten varastaminen aiheuttaa järjestelmähäiriön tai sen että S-Pankille on määrätty miljoonien seuraamusmaksuja jo aiemmin (ja lisää varmaan tulee tämän viimeisen myötä)?

Ja mitä tekemistä SIM-korteilla on asian kanssa? Eihän niiden pankkipalvelujen käyttämiseen välttämättä mitään SIM-kortteja käyttäviä mobiilipäätelaitteita tarvitse.

Tarvitsee. Ei taida olla enää suomalaisia pankkeja jäljellä jotka eivät käytä 2 factor authenticationia (2FA) kun EU-säädös sitä vaatii?

Tarkoittaa siis sitä, että ensimmäinen maksuvaihe toteutetaan tunnuslukulistalla, toinen sillä että tekstiviesti ilmoittaa seuraavan järjestysluvun listalta.

Toki mobiilipankissa riittää pelkkä äpin avaus, mutta sekin voi satunnaisesti pyytää 2FA tunnistautumista.

No käsitykseni mukaan esim. Nordealla tunnistautumisen voi ainakin vielä jonkin aikaa sitten tehdä tunnuslukulaitteella jos käyttäjällä ei ollut (äly)puhelinta. Toki tilanne on voinut muuttua kun en ole aikoihin Nordean tunnuslukulaitettani käyttänyt.

Vierailija kirjoitti:

Jospa joku tietoturva-asiantuntija arvioisi S-ryhmän toisen tekeleen, s-kaupat.fi, tunnistautumista. Sähköpostiosoitteen tai puhelinnumeron syöttämällä käynnistyy tunnistus, jossa vaaditaan nelinumeroinen tunnusluku. Sen arvaamista pääsee yrittämään kolmesti vaikka ei olisi kyseisen sähköpostin tai puhelinnumeron haltija, joka tosin saa tiedon niistä yrityksistä.

Tuossa on hieman epätavallisen hyvät todennäköisyydet sille että jonkun toisen henkilötietoihin voisi päästä arvaamalla. Yleensä käytetään salasanalla tunnistautumista ennen kuin lähetellään turvakoodia sähköpostina tai tekstiviestinä osana kaksivaiheista tunnistautumista. Mistä lie peräisin tälläinen tunnistautumistapa.

Kolmella yrityksellä todennäköisyys on 1: 3,333 tai 0,0001%. Ei se mahdotonta ole mutta hyvin epätodennäköistä. Toki jos systeemi muuttettaisiin esim. kuusilukuiseksi, ei oikeita arvauksia tapahtuisi juuri ikinä koska todennäköisyys olisi 1 : 1 000 000.

Vierailija kirjoitti:

Kuten lukemattomissa ketjuissa jo sanottu niin pelkällä uudella SIM-kortilla ei tee mitään. Pitää olla myös tunnarit, salasana sekä avainlukulista jonka seuraavan luvun pankki lähettää tekstiviestinä aina kun tehdään tilisiirtoa. Uutinen on täysi ankka.

Nämä sadat tunnukset on joko varastettu fyysisesti ihmisiltä jotka asuvat samassa taloudessa tai niitä on kaupiteltu verkon pimeillä kauppapaikoilla sadoittain. Pelkästään sillä että tilaa ihmisen nimissä uuden SIM-kortin ja liittymän ei pääse tilitietoihin millään käsiksi.

Samoin myöskään sillä, että vahingossa näkisikin toisen tilitietoja, ei voi mitenkään tehdä tilisiirtoja tämän nimissä, kun varmistus tulee täysin eri numeroon ja käytössä on täysin eri tunnuslukulista.

"...avainlukulista jonka seuraavan luvun pankki lähettää tekstiviestinä aina kun tehdään tilisiirtoa. Uutinen on täysi ankka."

Itse olet ankka, tai hanhi.

Mitään avainlukua ei S-Pankki kysele, vaan se sama 4-numeroinen kirjautumiskoodi syötetään myös maksuja tehdessä.

"varmistus tulee täysin eri numeroon" - vain isoja summia siirrettäessä tulee eri varmistus, mutta se voi yhtä hyvin tulla samaan numeroon, millä mobiilissa asioidaan.

Käyttääkö joku vielä tunnuslukulistoja?!

Itse tunnistaudun mobiilissa verkkopankkiin, silloin harvoin kuin sitä käytän. 95% pankkiasioistani hoituu mobiilissa.

S-Pankki on ollut siitä mukava, että eivät ole koskaan kyselleet suurten ulkomaista tulevien, tai sinne menevien tilisiirtojen perään.

Ei ole myöskään koskaan tiedusteltu "vaikuttamisesta" tai ylipäätään ulkomaan rahaliikenteestä, mitä Nordea tapasi tehdä kerran vuodessa.

Vierailija kirjoitti:

Vierailija kirjoitti:

Kuten lukemattomissa ketjuissa jo sanottu niin pelkällä uudella SIM-kortilla ei tee mitään. Pitää olla myös tunnarit, salasana sekä avainlukulista jonka seuraavan luvun pankki lähettää tekstiviestinä aina kun tehdään tilisiirtoa. Uutinen on täysi ankka.

Nämä sadat tunnukset on joko varastettu fyysisesti ihmisiltä jotka asuvat samassa taloudessa tai niitä on kaupiteltu verkon pimeillä kauppapaikoilla sadoittain. Pelkästään sillä että tilaa ihmisen nimissä uuden SIM-kortin ja liittymän ei pääse tilitietoihin millään käsiksi.

Samoin myöskään sillä, että vahingossa näkisikin toisen tilitietoja, ei voi mitenkään tehdä tilisiirtoja tämän nimissä, kun varmistus tulee täysin eri numeroon ja käytössä on täysin eri tunnuslukulista.

"...avainlukulista jonka seuraavan luvun pankki lähettää tekstiviestinä aina kun tehdään tilisiirtoa. Uutinen on täysi ankka."

Itse olet ankka, tai hanhi.

Mitään avainlukua ei S-Pankki kysele, vaan se sama 4-numeroinen kirjautumiskoodi syötetään myös maksuja tehdessä.

"varmistus tulee täysin eri numeroon" - vain isoja summia siirrettäessä tulee eri varmistus, mutta se voi yhtä hyvin tulla samaan numeroon, millä mobiilissa asioidaan.

Käyttääkö joku vielä tunnuslukulistoja?!

Itse tunnistaudun mobiilissa verkkopankkiin, silloin harvoin kuin sitä käytän. 95% pankkiasioistani hoituu mobiilissa.

Heh, en tiedä käyttääkö mutta kun S-Pankin digitaaliset palvelut ja tunnistusvälineet -sopparin allekirjoitin kesäkuussa, mukaani toki sain hetimiten ne tunnuslukulistat.

Vierailija kirjoitti:

Vierailija kirjoitti:

Jospa joku tietoturva-asiantuntija arvioisi S-ryhmän toisen tekeleen, s-kaupat.fi, tunnistautumista. Sähköpostiosoitteen tai puhelinnumeron syöttämällä käynnistyy tunnistus, jossa vaaditaan nelinumeroinen tunnusluku. Sen arvaamista pääsee yrittämään kolmesti vaikka ei olisi kyseisen sähköpostin tai puhelinnumeron haltija, joka tosin saa tiedon niistä yrityksistä.

Tuossa on hieman epätavallisen hyvät todennäköisyydet sille että jonkun toisen henkilötietoihin voisi päästä arvaamalla. Yleensä käytetään salasanalla tunnistautumista ennen kuin lähetellään turvakoodia sähköpostina tai tekstiviestinä osana kaksivaiheista tunnistautumista. Mistä lie peräisin tälläinen tunnistautumistapa.

Kolmella yrityksellä todennäköisyys on 1: 3,333 tai 0,0001%. Ei se mahdotonta ole mutta hyvin epätodennäköistä. Toki jos systeemi muuttettaisiin esim. kuusilukuiseksi, ei oikeita arvauksia tapahtuisi juuri ikinä koska todennäköisyys olisi 1 : 1 000 000.

1:3,333 on kylläkin 30 % 1:3333 on 0,0003 eli 0,003 %. En nyt jaksa ajatella, joten muuten en ota kantaa tuohon lukuun.