Kohupalvelu Balancion pysyy yhä kiinni
1
Henkilökohtaisen talouden hallinnan palvelu Balancion pistettiin kiinni loppuviikosta, koska yrityksen käyttämässä java-komponentissa havaittiin haavoittuvuus. Se on nyt korjattu, mutta tilitapahtumien hakemista verkkopankeista ei jatketa toistaiseksi. Balancion haluaa varmistaa sertifioinnit loppuun, jotta tietoturvasta ei jäisi enää epävarmuutta missään.
Balancionin perustaja ja toimitusjohtaja Jussi Muurikainen kertoo Tietokoneelle, että java-haavoittuvuus oli yleisesti käytössä olevassa java-komponentissa. Se korjattiin viikonloppuna suunnitelman mukaisesti.
Yrityksen web-sivusto on avoinna, mutta tietoja ei haeta palveluun verkkopankeista toistaiseksi.
Viime viikolla yrityksestä sanottiin, että palvelu avattaisiin taas maanantaina, mutta avaamista on nyt päätetty siirtää, kunnes jo aiemmin suunnitellut sertifioinnit on varmistettu kahden tietoturvayhtiön kanssa. “Käsittelemme nyt jonkin aikaa vielä turvallisemmin datahaun kokonaisuutta”, hän sanoo.
“Kyseessä on haavoittuvuus, joka on hyvin harvojen tiedossa. Se ei liittynyt meidän palveluumme, eikä palvelumme tietoturva ollut uhattuna”, sanoo Muurikainen. Hän ei kuitenkaan halua mennä asian setvimisessä teknisiin yksityiskohtiin.
“Haavoittuvuuden läpikäyminen julkisuudessa ei parantaisi tietoturvaa”, hän perustelee. Muurikainen myös harmittelee, että asiasta on levitetty vääriä tietoja, joissa on paisuteltu tai vääristelty uhkakuvia.
Balancion muun muassa korostaa, ettei se tallenna asiakkaiden pankkitunnuksia, vaan sisäänkirjautuminen tapahtuu tavalliseen tapaan asiakkaan tunnuksilla web-selaimen kautta.
Balancion uskoo yhteistyöhön pankkien kanssa
Balancionin mukaan haavoittuvuus olisi sen sijaan voinut uhata ulkopuolisia tahoja, jos sitä olisi muokattu. Näin asiakas olisi voitu huijata kirjautumaan rikollisten haitalliseen palveluun.
Yritys tekee yhteistyötä nyt Nixu-tietoturvayhtiön ja toisen erityisesti pankkien järjestelmiin erikoistuneen tietoturvayhtiön kanssa. Muurikainen sanoo, lisäsertifiointien hankkinen voi viedä viikkoja, mutta tarkkaa aikataulua ei ole ilmoitettu.
Hän uskoo, että yhteistyö jatkuu edelleen hyvässä hengessä verkkopankkien kanssa. “Suhteet pankkeihin ovat itse asiassa lähentyneet, kun ne ovat huomanneet, miten vakavasti suhtaudumme tietoturvaan.”
Muurikainen sanoo, että Balancion haluaa olla niin avoin kuin mahdollista tiedottamisessa. Palvelu ei kuitenkaan ole vielä kaupallisessa avoinna, vaan vasta suljetussa testivaiheessa. “Sellaisella keskustelulla ei ole arvoa, jossa ruoditaan tietoturvaa ennen kuin sertifiointimme on tehty”, Muurikainen pohtii.
