Kohuttu Balancion kiinni tietoturvariskin takia
0
Henkilökohtaisen taloudenhoidon palvelu Balancion on aiheuttanut paljon keskustelua tietoturvan näkökulmasta ja sen suhteen, millaiset oikeudet asiakkailla on verkkopankkien hyödyntämiseen. Pankit kieltävät asiakkaita luovuttamasta asiakastunnustaan ja salasanojaan kolmansille osapuolille. Balancion ilmoittaa sulkeneensa palvelun selvittääkseen torstai-iltana ilmenneen mahdollisen tietoturva-aukon.
“Saimme historian ensimmäisen relevantin vihjeen siitä, että eräs osa palvelumme datahaun prosessista saattaa mahdollistaa koodin rikkomisen. Pelkkä aavistus riitti meille ja suljimme palvelun eikä koko tuota prosessia ehditty edes testaamaan. Saimme tiedon asiasta illalla korviimme ja toimimme välittömästi. Voi olla siis, että tämä oli turhankin nopeaa reagointia, mutta se on valitsemamme linjamme”, kirjoitti Balancionin perustaja ja toimitusjohtaja Jussi Muurikainen ensin Vierityspalkki-blogin kommenteissa.
Balancion on selvittämässä, pitääkö väite koodin murtamisesta paikkansa. Yritys on tehnyt läheistä yhteistyötä Nixu-yhtiön ja pankkien järjestelmiin erikoistuneen firman kanssa.
Muurikainen kertoo Tietokone-lehdelle, että epäilty tietoturvariski on yleinen java-komponentin haavoittuvuus, joka ei liity erityisesti Balancioniin.
Epäillyn haavoittuvuuden mukaan sovelluskomponenttia voisi päästä muokkaamaan. Muurikainen sanoo, etttä muokatulla koodilla ei pääsisi enää Balancion-palveluun, mutta sitä voisi kenties käyttää muualla. Siksi asia halutaan selvittää.
Muurikainen kertoo tapaavansa kahden tietoturvayhtiön asiantuntijat pian. Lisätietoa luvataan mahdollisesti vielä myöhemmin tänään.
“Reagoimme nyt herkästi asiaan, johon kukaan muu yritys ei ole reagoinut. Tämä johtuu siitä, että toimimme hyvin intiimien finanssitietojen kanssa.”
Muurikainen viittaa siihen, että moni muu palvelu käyttää jo samantyyppistä java-sovellusta, mutta Balancion haluaa olla erityisen varma, ettei haavoittuvuudesta ole konkreettista vaaraa.
Balancion: Emme kerää asiakastunnuksia
Balancion on kehittänyt java-sovelluksen, joka hakee tilitapahtumat verkkopankeista ja tallentaa ne tietokantaan webissä. Idea on, että kuluttaja-asiakas pääsisi hallitsemaan raha-asioitaan.
Yritys on kuitenkin korostanut sitä, ettei sen oma sovellus missään vaiheessa kerää asiakkaan pankkitunnuksia tai salasanoja, vaan sisäänkirjautuminen tapahtuu tavalliseen tapaan web-selaimen kautta.
Asia on noussut julkisuuteen OP-Pohjola-pankin lähetettyä asiakastiedotteen, jossa kiellettiin asiakkaita luovuttamasta tunnuksia kolmansille osapuolille. Balancionin mukaan kyse oli kuitenkin väärinkäsityksestä, koska heidän palvelussa näin ei tapahdukaan.
Webissä Balancion on saanut käyttäjiltä myönteistä palautetta, koska useimmissa suomalaisissa verkkopankeissa ei ole tällaisia oman taloudenhoidon palveluita.
