2015-05-19 13:24

Tink är inte din kompis

Tjänsten Tink är en tjänst dit 250 000 svenskar har lämnat ut sina banklösenord. Samtidigt avsvär sig Tink allt ansvar om något går fel.

Tink erbjuder sig sammanställa din privatekonomi, om du lämnar ut dina lösenord till alla banktjänster till dem. Det senaste är att man även använder mobilt BankID, genom att Tink försöker logga in på berörda banker och skickar en uppmaning till dig att legitimera deras inloggning via ditt BankID. Därmed får Tinks inloggning full tillgång till din privatekonomi, och kan t ex köpa och sälja aktier och fonder, förutom att de förstås samlar in all information om dig som finns.
Köpt en dansk frukost på kort?
Tink vet!

Tink är gratis, dvs det är du själv som är produkten. Man säljer vidare informationen om t ex köpmönster till andra.

Samtidigt ger som bekant inte banker någon ersättning om man handskats vårdslöst med inloggningsuppgifter. Att lämna ut inloggningsuppgifter till t ex Nordnet, Avanza, Ikano Bank, ICA-banken mfl banker som bara kräver lösenord, är att handskas vårdslöst med det hela. Att sitta och legitimera okända legitimeringar med BankID är att hanteras vårdslöst.

Det hela kallas så fint för externa inloggningsuppgifter.

Dessutom har Tink i sitt användaravtal en generell force majeur, som innebär att om något går fel har Tink inget ansvar. Det handlar inte bara om sedvanliga naturkatastrofer, krig och terrorism, utan allt som kan hända.
"Force majeur. Part är inte ansvarig för dröjsmål eller förlust som beror på omständighet som part inte råder över och som väsentligt försvårar uppfyllelsen av förpliktelsen ifråga eller som medför att uppfyllandet av förpliktelsen inte är ekonomiskt försvarbar."
Najs.

Hackare, som tar sig in i systemet kommer åtminstone bara åt 250 000 personers uppgifter och login. Att man hänvisar till att systemet kör hos Amazon, som säkerhetscertifierat sina serverhallar betyder inte ett dugg - Amazons certifiering omfattar inte kundernas applikationer. Man hänvisar även till Verisign angående krypton på själva överföringen, men sådana slutade Verisign att ge ut för ett antal år sedan.

Man tröstar sina 250 000 "kunder" (på samma sätt som en gris är en kund till en bonde) med att ifrån själva Tink-tjänsten kan ingen överföra pengar. Fast vad som händer om någon hackar sig in på Tink och kommer över dina inloggningsuppgifter till bankerna lämnas som en tankeövning. Och ja, inloggningsuppgifterna måste i något läge vara okrypterade för att kunna användas när Tink loggar in på dina Internetbanker åt dig.

Att endast 250 000 personer använder Tink är åtminstone ett kvitto på att det finns viss intelligens hos svenska folket och att 250 000 personer inte kommer uttala sig i frågor om personlig integritet.

24 kommentarer:

  1. Men jag har juh in budget där, var juh så smidigt.. :(

    Dags att återgå till excel.

    SvaraRadera
    Svar
    1. Måste jag blocka dig nu?

      Radera
    2. Antingen missar jag något eller.. va? :|

      Radera
    3. Det var ett skämt. Hoppas din ursprungliga kommentar också var det...

      Radera
    4. Jaha, ok! Du får ta det lite lugnt med mig, jag arbetar inom offentlig sektor. :-)

      Självklart var ... det .. eh .. det. *host*

      Radera
  2. Jaha, har aldrig hört talas om detta och det är väl lika bra det, är väldigt restriktiv med mina lösenord, till bantjänster och liknande endast bankid.

    SvaraRadera
  3. Har de inte bara read access som liknande tjänster?

    SvaraRadera
    Svar
    1. Finns inga sådana begränsningar i Internetbankerna. Man får inte ens dela ut sitt lösenord till andra, vilket krävs för att Tinks tjänst ska fungera. Tink har full tillgång till allt man kan göra med enbart lösenord, vilket hos t ex Avanza inkluderar ta ut pengar. Att man inte implementerat det ändrar inte att ngn fjärde part kan ta ut pengar om de hackar Tink och får tag på lösenord.

      Radera
    2. Stämmer inte. Tink har inte alls full tillgång till avanza. Läser bara hur mycket du har på kontot.

      Radera
  4. Jag använde det så länge som jag hade read-only konto med lösenord på min bank/kortutgivare där inga externa transaktioner kunde göras. Men när det sedan blev BankID-krav så slutade jag använda det just då det inte finns några kontroller av vad man då kan göra med mitt konto.

    SvaraRadera
  5. Jag har bara lönekontot på min Bank-ID/Tink-anslutna bank, och räknar med att den ekonomiska risk jag tar där är i samma paritet eller lägre än den risk jag tar varje dag i och med att jag kör omkring med bilen - om den kraschar eller bryter ihop. Eller ännu värre om jag skadar mig.

    Jag kan återhämta mig om det skulle visa sig att jag tappar en månadslön. Och sannolikheten för det bedömer jag trots allt som ganska liten. Och den risken är som sagt endast ekonomisk.

    Men rätta mig gärna om jag har fel - att tänka säkerhet kan vara ganska snårigt.


    SvaraRadera
    Svar
    1. Många gånger räcker det med att enbart känna till själva kontonumret för att kunna orsaka skada, t.ex. kan man göra saker i en bankkassa oavsett spärrar på internetbank. Sedan finns det ju ofta också andra problem, till exempel kan någon använda ditt konto som "transitkonto" när man stjäl ifrån andra, vilket är mycket vanligt. Det kan också finnas möjligheter att lägga upp autogiron, öppna nya konton, göra överföringar till egna konton med andra restriktioner osv. Listan kan göras lång. Jag skulle aldrig under några omständigheter lämna ut nycklarna till bankvalvet.

      Radera
  6. En tjänst för Millennials och ensamma frånskilda mammor :)

    SvaraRadera
    Svar
    1. Huvudet på spiken.

      Den här tjänsten visste jag inte ens existerade, vem fan kom på det här egentligen?

      Radera
  7. Snälla säg att det här är ett aprilskämt!

    Det kan inte vara möjligt att folk är så korkade att de självmant lämnar ut inloggningsuppgifter för banken till 3:e part.

    SvaraRadera
    Svar
    1. Folk är inte så dumma som man tror utan mycket dummare.

      Radera
    2. Det finns dessutom många fler tjänster, t.ex. svenska quapital samt ett helt gäng internationella tjänster. Har jobbat med säkerhet på bank i många år och vet precis vad som skulle hända om ditt konto länsas, oavsett skäl skulle man peka på att du använt sådana tjänster (vilket syns i loggen) och vips får du inte ett öre ifrån banken.

      Radera
  8. Men fungerar BankID inte som en mellanhand, dvs att Tink aldrig har tillgång till lösenord?
    SEB har ju t ex inget inloggningslösenord, men kan nås via BankID.

    SvaraRadera
  9. Tycker tjänsten funkar bra. Att nån skulle hacka tink och sno mina pengar, och att jag skulle anses vara vårdslös ser jag som en hanterbar extremt långsökt risk.

    SvaraRadera
  10. Centiljonsfrågan som då inställer sig hos mig är då: När får vi(inte) höra om hur Tink sänktes av ett botnet som samtidigt överförde 250 000 personers besparingar?

    SvaraRadera
    Svar
    1. Ska du överföra från konto måste du nog första hacka bank-id, som är kopplat till ett certifikat. Så helt lätt är det ju inte, för då hade det gjorts redan.

      Ang avanza-kopplingen får tink bara redan på kontobalansen, inte ens transaktionerna laddas hem.

      Radera
  11. Hej! Ville bara kort försöka räta ut några frågetecken kring punkterna du tar upp som vi uppenbarligen varit dåliga på att förklara tidigare.

    Vi använder samma autentiseringsmetoder som banken valt och du kan nu välja Mobilt BankID för alla storbanker. Tink fungerar då säkerhetsmässigt exakt som bankens vanliga app och koden till Mobilt BankID sparas inte. Varken vi eller en bedragare kan alltså ta ut dina pengar utan att du själv behöver signera transaktionen separat med Mobilt BankID.

    Det har aldrig varit förbjudet att använda koderna i tjänster som Tink, även om vissa gjort sitt bästa för att hävda motsatsen. Förra veckan satte också EU ner foten i frågan genom den senaste betaltjänstlagen, PSD2. Lite info finns på [1], kommer mer så snart det är publicerat (vi sitter i Regerings referensgrupp för PSD2).

    Hade det funnits någon mer relevant säkerhets-certifiering hade vi skaffat den omgående. I väntan på EU-reglerna så har vi gjort två security reviews av Sveriges främsta IT-säkerhetsbolag - deras utlåtande: “ni är säkrare än en bank”.

    Force Majeur innebär att vi inte kan göras ansvariga för saker som vi inte kan råda över (ex. vulkanutbrott). Det är ingenting vi kan gömma oss bakom om vår säkerhet varit för dåligt och du hittar samma sak i avtalet med din bank.

    Tink laddar aldrig ner någon annan data än den vi visar upp för dig i appen och delar aldrig med oss av annat än anonymiserad data på aggregerad nivå.

    Har du eller någon av dina läsare fler frågor eller kommentarer så svarar jag gärna på dessa på fredrik@tink.se.

    Bästa hälsningar,

    Fredrik Hedberg, CTO, grundare Tink


    [1] http://www.socialdemokraterna.se/Webben-for-alla/EU/EU/Ledamoterna-/olle/Mediany/Pressmeddelanden/Nya-EU-regler-gor-det-enklare-billigare-och-tryggare-att-betala/

    SvaraRadera
  12. Snyggt med svar från Tink.
    Brukar du inte släppa fram svar som dessa i ett eget inlägg?
    Jag tror herr Wilderäng hjälper bankerna med att sprida skrämselpropaganda för att denna trevliga Svenska ekonomiapp.
    Bankernas egna motsvarigheter ligger efter och kräver att man samlat allt hos dem.
    Och helkund hos storbanken är sällan eftersträvansvärt.
    Gillar appen trots att jag inte använder den dagligen, senaste funktionen ID koll tror jag kommer att få fler att använda Tink.

    SvaraRadera
  13. Artikeln känns mer som spridning av FUD än grundad på fakta och förståelse för säkerhet.

    SvaraRadera

Related Posts Plugin for WordPress, Blogger...