S-Pankki reagoi palautteeseen ja poisti seurannan verkkopankistaan

Jari Ketola
25. helmikuuta, 2015 10:31

Uutisoimme eilen Twitter-käyttäjä Jesse Sandbergin havaitsemasta Google Analytics -seurannasta S-Pankin verkkopankissa. S-Pankki kiisti potentiaaliset tietoturvaongelmat, mutta ilmoitti kuitenkin tänään kytkeneensä seurannan pois verkkopankin puolelta toistaiseksi.
Pankki kiistää kuitenkin edelleen mahdolliset tietoturvaongelmat tiedotteessaan.

Viime päivinä asiasta on käyty vilkasta keskustelua Twitterissä. Kirjoittajat ovat esittäneet huolensa siitä, että seurannassa kerätään asiakkaiden henkilötietoja, ja että nämä tiedot siirtyisivät Googlen käyttöön. Näin ei ole. Kävijäseurannassa ei kerätä asiakkaiden henkilötietoja, eikä tietoja luovuteta Googlen käyttöön. Tiedot kerätään S-Pankin lukuun ja tiedot ovat sopimuksemme mukaisesti ainoastaan S-Pankin käytössä.

Sopimuksesta huolimatta kävijätiedot ovat kuitenkin tallentuneet Googlen palvelimille ja ovat siten Googlen hallussa. Potentiaalisia ongelmakohtia seurannassa on useita. Kolmannen osapuolen palvelimelta ladattava seurantakoodi mahdollistaa sivun sisällön lukemisen. Esimerkiksi ns. man-in-the-middle -hyökkäys voisi mahdollistaa Googlen Javascript-koodin korvaamisen toisella, enemmän tietoja keräävällä koodilla.
Jo nykyisellään Analytics-seuranta kirjaa ylös sivujen URL-osoitteen. S-Pankin tapauksessa osoiteriveillä kulkee kaikenlaista tietoa, kuten käyttäjän tilinumero. Tilinumero ilmoitetaan SHA1-tiivisteenä, mutta kuten esimerkiksi hakkeri Oona Räisänen on osoittanut, on kyseessä suoraviivainen SHA1-tiiviste ilman suolausta. Toisin sanoen tiiviste on hyvin triviaalia palauttaa takaisin selkokieliseksi tilinumeroksi.
Hatunnosto S-Pankille nopeasta asiaan reagoinnista. Vaikka alkuun potentiaalista ongelmaa vähäteltiinkin, osoittaa nyt otettu aikalisä seurannan suhteen sen, että asiaa halutaan tarkastella rauhassa.