- amn
- Medlem ●
Eftersom de begär tillgång till platsinformation från operativsystemet (det vill säga information även från exempelvis GPS och GLONASS), så skyddas du inte av VPN. Det blir alltså inga problem för dem att lagra din exakta platsinformation på deras servrar (om du godkänner det i Android/iOS/macOS det vill säga).
Angående att insamlandet av platsinformation kan komma att bli obligatoriskt för att använda appen säger Malin att något beslut ännu inte är taget i frågan men att det handlar om att göra en samlad bedömning av säkerheten för tjänsten. Där ska krav från banker och myndigheter tas i åtanke, och självklart användarnas behov.
Detta påstående står i direkt strid med vad "Finansiell ID-Teknik BID AB" skrev som svar i Google Play den 3 maj 2018: "På sikt kommer det blir ett krav för att kunna använda BankID."
Någon ljuger uppenbarligen. Inte alls förtroendeingivande. Särskilt inte med tanke på vilka känsliga uppgifter som företaget har tillgång till.
Hon understryker också att platsinformationen enbart används när användaren hämtar ut ett Bank ID samt loggar in och skriver under med det.
Det vill säga alltid, varje gång du använder appen till något? Vilket missledande svar.
Malin berättar att ID-bedrägerier på internet har ökat de senaste åren, och det är något som även Bank ID-tjänsten kan drabbas av, även om problemet inte kan sägas vara utbrett.
Problemet kan alltså inte sägas vara utbrett. Hur kan det så sägas vara proportionerligt att lagra exakt platsinformation för miljontals användare i ett lamt försök med en lättförfalskad teknisk lösning mot social engineering?
Denna typ av bedrägerier stoppas väl ändock effektivast genom utbildning av användarna? De har ju möjligheten att utbilda sina användare via deras egen app, utan någon större ansträngning eller kostnad för dem. Att de inte börjat i den änden tyder ju på att de är ute efter användarnas platsinformation, och inte efter att skydda dem på riktigt.
Det ÄR en oproportionell lösning - en paniklösning. Ansvariga har inte tänkt på vad de egentligen gör. Låg IQ, insikt och upplysningsnivå helt enkelt.
Det är som att bugga och montera upp övervakningskameror hos alla beg-bilhandlare därför att någon då och då blir blåst och pålurad en skrotbil för 180 000 spänn.
Det är nog inte så många kineser som kan ringa till en svensk och på klockren svenska förklara att dom är poliser eller från banken och att dom vill att samtalsmottagaren ska logga in på sin bank via sitt Bank-ID - och sedan be samtalsmottagaren att ännu en gång - efter en kort stund - signa med Bank-ID.
Jag tog det mer som att om man har loggat in med BankID i Sverige, någonstans, och en kvart senare från Kina, så är det något lurt. Att det ska vara en så exakt platsinfo trodde inte jag...
Teknik kan inte rå bot på okunnighet.
BankID är en urusel produkt. Antingen har man det eller inte, det går inte att begränsa vad den gör. Dvs, jag vill kunna legitimera mig mot (lågrisktjänst) tex logga in på Apoteket/kolla saldo på banken.
Men jag vill begränsa möjligheten att göra större finansiella transaktioner mha BankID.
Bankerna (som äger BankID) har totalt misslyckats med att utbilda användarna.
Jämför med att ge en kompis ett laddat vapen på skjutbanan, inte f*n nöjer man sig med svaret "jae" om man frågar "vet du hur man hanterar ett vapen?" Nej man verifierar att så är fallet genom lämpligt sätt. Därefter kan man ge kompisen en ask patroner.
Bankerna har lagt ny och kraftfull teknik i händerna på Svensson utan att verifiera att dessa förstår sig på tekniken och riskerna.
-Folk får skylla sig själva om de är så dumma, har jag själv sagt. Jag hade dock fel. Det är bankerna som inte utbildat och verifierat kunskapen hos användarna.
Platsinfo är bra om det är en av parametrarna som bygger upp säkerheten.
Men sakta i backarna. Gäller inte allt detta mobilt bank-ID? Riktigt bank-ID med dosa och kort påverkas väl inte alls?
Hittills. Även macOS har Location Services. Som jag förstått det, så utgår de från exempelvis uppbyggda databaser över placeringen av Wi-Fi-nätverk. Om någon anslutit en telefon (med GPS eller liknande) till nätverket, så är positioneringen skrämmande exakt (med hjälp av enbart accesspunktens MAC-adress). Se denna ZDNet-artikel för fördjupning.
Bank ID har uppdaterats och använder nu platsinformation i ett försök att motverka bedrägerier. Just nu är det frivilligt men längre fram kan det komma att bli obligatoriskt.
Med jämna mellanrum ( 1-2 veckor) dyker det upp på min Iphone, när jag startar BankID appen att: - Ett eller flera BankID är spärrade. Du måste hämta ett nytt Mobilt BankId i din internet bank.
När jag loggar in på Banken och tittar på sidan (Hantera Dina BankID) så står dom som giltigt.
Enda sättet att komma loss, är att spärra dom själv och sedan hämta ner ett nytt BankID.
Någon mer som ”träffats” av problemet, som dom (banken) självklart aldrig hört talas om?
Platsinfo är bra om det är en av parametrarna som bygger upp säkerheten.
Att inte tillåta parallella sessioner är en annan. Men visst är det är väl kunden till Finansiell ID-teknik (banken alltså) som bestämmer om det ska tillåtas eller inte? Tillåts det inte så kan inte banditen sitta och vänta på att jag legitimerar mig och sedan sno sessionen. Eller det kanske anses som service till kunden av banken?
Jag ringde nyss E-legitimationsnämnden för att fråga om det är okej med regelverket att kräva platsinformation för att man ska kunna använda mobilt bank id. Juristen jag talade med, och som själv hade sett detta igår, skulle undersöka saken och återkomma, dock inte de närmaste dagarna. Hellre rätt än snabbt, bra så!
Har du hört något tillbaka?
Nej, tyvärr inte. Hade glömt av detta. Mejlade nyss och lade till en paragraf, lite som påtryckning.
Förvaltningslag, 4 §:
”Varje myndighet skall lämna upplysningar, vägledning, råd och annan sådan hjälp till enskilda i frågor som rör myndighetens verksamhetsområde. Hjälpen skall lämnas i den utsträckning som är lämplig med hänsyn till frågans art, den enskildes behov av hjälp och myndighetens verksamhet.
Frågor från enskilda skall besvaras så snart som möjligt.
Om någon enskild av misstag vänder sig till fel myndighet, bör myndigheten hjälpa honom till rätta.”
Nyss fick jag svar:
”Jag tog med din fråga till dem som ansvarar för säkerhetsgranskningen. Enligt dem så hindrar regelverket inte att en utfärdare implementerar säkerhetsåtgärder som går utöver de krav som uppställs för den aktuella tillitsnivån.”
Grönt ljus, alltså, för platsbestämning.
Nyss fick jag svar:
”Jag tog med din fråga till dem som ansvarar för säkerhetsgranskningen. Enligt dem så hindrar regelverket inte att en utfärdare implementerar säkerhetsåtgärder som går utöver de krav som uppställs för den aktuella tillitsnivån.”
Grönt ljus, alltså, för platsbestämning.
Tack för rapporten.
Jag förstår dock inte hur deras uttalande svarar på frågan om det är OK enligt deras policy att lagra exakt platsinformation för samtliga signeringsuppdrag. Det generella undantaget i deras policy gäller ju bara för att uppfylla ställda säkerhetskrav, inte gå utöver dem.
Vad de säger (baserat på ditt citat ovan), är att det är OK att implementerar säkerhetsåtgärder, inte att det är OK att lagra platsinformation.
Deras policy som jag syftar på, som du citerade tidigare i denna tråd:
Lagring av personrelaterad information skall begränsas till lagring av certifikat enligt 2.1.1 samt information relaterat till signeringsuppdrag som är felaktiga eller kan misstänkas vara resultatet av en attack mot underskriftstjänsten eller begärande e-tjänst.
Om incidenten är föremål för polisutredning får informationen lagras så länge som krävs för att stödja utredningen och eventuell efterföljande process i domstol. I annat fall får informationen i sin helhet endast lagras i tre (3) månader, varefter den måste raderas eller avpersonifieras så att alla användarrelaterad information raderas.
Generellt undantag för ovanstående policy är information om måste sparas i enlighet med svensk lag samt information som måste sparas för att kunna uppfylla ställda säkerhetskrav i enlighet med regelverket för Svensk e-legitimation.
Jo, men på samma sida anges att de också ”Granskar fristående underskriftstjänster”. Mer om det står här. Dock sker själva ansökan till Kammarkollegiet. Juristen jag talade med svor sig inte fri vad gällde detta, utan skulle höra av sig. Om han och hans myndighet inte skulle ha med BankID® att göra så skulle han väl ha sagt det? Vi får se när han hör av sig.
Jo, men så vitt som jag vet så finns det inget krav på att en oberoende underskrifttjänst måste vara certifierad av dem, det är frivilligt och myndigheten kan inte förbjuda någon tjänst.
Jag kan ha fel men tror inte det.
Vare sig det gäller Staten eller Företaget så är det detta med "raderas eller avpersonifieras" - det görs inte alltid och om och om igen visar det sig att det inte ens finns rutiner och system för att rensa bort info efter given tid. Ett exempel är polisens DNA-toppsning av folk i utredningar; om personen ej döms så ska DNA-provet förstöras; detta litar jag inte på, jag tror inte alls att det destrueras och jag vet att om det uppdagas så finns inga påföljder. Att det skulle uppdagas är också i det närmaste omöjligt...hur skulle det gå till? bara en visselblåsare kan avslöja detta och inom polisen finns knappt sådana.
Så, om ni blir topsade av polis - kanske bara för att uteslutas i en utredning (masstopsning vid våldtäkter t.ex.) - så är det mycket troligt att detta DNA-prov kommer att finnas lagrat i all evighet.
Detta gäller också digital info; jag litar inte alls på att info tas bort - "raderas eller avpersonifieras" - efter angiven tid. hEftersom överträdelser av dessa regler är i det närmaste omöjligt att "upptäcka" - och att påföljder är icke existerande eller löjligt milda - så utgår jag alltid fråm missbruk (ibland är det bara lathet eller okunskap eller "glömska" som gör att info ligger kvar i evigheternas evighet - ibland uppsåt - vi får aldrig veta).
Comhem ”läckte” mina personuppgifter nu i våras. Saken var den att det var minst två år gamla uppgifter, och att jag inte längre var kund hos dem när läckan skedde. I deras GDPR policy står det att data raderas när kunden upphör att vara kund. Jag frågade Comhem om detta var en ny policy och fick svaret nej.
Så bolagen ljuger, bevisligen.
Jo, men så vitt som jag vet så finns det inget krav på att en oberoende underskrifttjänst måste vara certifierad av dem, det är frivilligt och myndigheten kan inte förbjuda någon tjänst.
Jag kan ha fel men tror inte det.
Dock verkar bankerna, och därigenom BankID, vara med i projektet. Enligt Wikipedia:
E-legitimationsnämnden är en svensk myndighet under Näringsdepartementet som startades 1 januari 2011 för att införa det system för e-legitimation som kommer att benämnas Svensk e-legitimation.
Ett krav från vissa svenska banker för att vara med i projektet var att Skatteverket förhindrar Sveriges universitetsdatanätverk (SUNET) att få tillgång till Skatteverkets tjänst "Mina meddelanden" för säker myndighets-e-post, som bankerna tolkar som en konkurrerande verksamhet. Därmed tvingas universiteten att återgå till att skicka brev istället för att använda helt elektronisk hantering av studenters ansökningar, från december 2015.
Jag gillar detta citat ur Wikipedias källa:
Den fria marknaden är bra på mycket. Men marknadskrafter ska inte tillåtas skapa ett monopol för att kontrollera våra elektroniska identiteter och våra möjligheter att kommunicera och ta del av offentliga tjänster på nätet. Infrastrukturen för verifiering av våra identiteter med e-legitimationer bör vara ett statligt ansvar. Ingen skulle drömma om att låta Swedbank, SEB och Nordea utfärda våra pass eller bestämma vad som får stoppas i vårt brevinkast. Varför ska de då ges förtroendet att utfärda våra digitala id-handlingar, särskilt eftersom de inte verkar kunna hålla fingrarna i styr?
En Wikipedia sida baserad på en anonym redaktör och med en insändare som enda källa skulle jag kanske inte sätta så högt på säkerhetssidan...
E-legitimationsnämmdens egna sidor säger...
Det är troligen vettiga krav som nämnden ställer men det är inte tvingande att certifiera sig.
Tack för rapporten.
Jag förstår dock inte hur deras uttalande svarar på frågan om det är OK enligt deras policy att lagra exakt platsinformation för samtliga signeringsuppdrag. Det generella undantaget i deras policy gäller ju bara för att uppfylla ställda säkerhetskrav, inte gå utöver dem.
Vad de säger (baserat på ditt citat ovan), är att det är OK att implementerar säkerhetsåtgärder, inte att det är OK att lagra platsinformation.
Deras policy som jag syftar på, som du citerade tidigare i denna tråd:
Att lagra platsinformation (kortvarigt medan det är aktuellt för inloggning*) ses alltså som en utökad säkerhetsåtgärd. Vilket är vad det är.
*Att Finansiell ID-teknik skulle långtidslagra detta, för att följa konsumenternas rörelsemönster och sedan sälja informationen, är något jag inte kan uttala mig om. Det hör till konspirationsteorisfären.
Att lagra platsinformation (kortvarigt medan det är aktuellt för inloggning*) ses alltså som en utökad säkerhetsåtgärd. Vilket är vad det är.
*Att Finansiell ID-teknik skulle långtidslagra detta, för att följa konsumenternas rörelsemönster och sedan sälja informationen, är något jag inte kan uttala mig om. Det hör till konspirationsteorisfären.
Återigen, det generella undantaget i deras policy gäller ju bara för att uppfylla ställda säkerhetskrav, inte gå utöver dem med utökade säkerhetsåtgärder. Att då lagra personrelaterad information relaterat till signeringsuppdrag som är inte är felaktiga och inte kan misstänkas vara resultatet av en attack mot underskriftstjänsten eller begärande e-tjänst, finns det som jag förstår det inget generellt stöd för, oavsett hur "kortvarigt" det lagras.
Hur länge menar du är "kortvarigt"? Jag syftar enbart på hur data lagras enligt deras policy, alltså normalt i sin helhet endast tre månader. När det handlar att lagra exakt platsinformation för miljontals svenskar så ser jag ett kvartal som långtidslagring.
Vad jag diskuterar är om de får lagra exakt platsinformation överhuvudtaget enligt policy, inte vad de gör med sådan information utanför policy. Vet inte varför du börja snacka om "konspirationsteorisfären".
Återigen, det generella undantaget i deras policy gäller ju bara för att uppfylla ställda säkerhetskrav, inte gå utöver dem med utökade säkerhetsåtgärder. Att då lagra personrelaterad information relaterat till signeringsuppdrag som är inte är felaktiga och inte kan misstänkas vara resultatet av en attack mot underskriftstjänsten eller begärande e-tjänst, finns det som jag förstår det inget generellt stöd för, oavsett hur "kortvarigt" det lagras.
Hur länge menar du är "kortvarigt"? Jag syftar enbart på hur data lagras enligt deras policy, alltså normalt i sin helhet endast tre månader. När det handlar att lagra exakt platsinformation för miljontals svenskar så ser jag ett kvartal som långtidslagring.
Vad jag diskuterar är om de får lagra exakt platsinformation överhuvudtaget enligt policy, inte vad de gör med sådan information utanför policy. Vet inte varför du börja snacka om "konspirationsteorisfären".
Du kan kontakta dem med dina funderingar och återkomma med deras svar. Det är nog lika bra. Jag är varken motpart eller speciellt insatt i detta (har naturligtvis ingen aning om hur platsinformationen lagras). Ska sanningen fram så bryr jag mig inte heller. Tycker bara att det är bra om bank id görs säkrare.
Jag är 100% säker på att vi så småningom kommer att läsa om att polisen fått ut en persons position från Bank-ID - en position som gällde för flera veckor/månader före polisens förfrågan, som inte alls skulle ha "lagrats". Minns var ni läste detta.
Mina barn finns inte i forsknings-DNA-registret - det där som ABSOLUT INTE får användas av polis etc - BARA forskning (det har redan använts av polisen vid förundersökningar - helt utan konsekvenser - det är totalt laglöst på den nivån). Redan på BB så skriver nyblivna föräldrar på detta papper...utan att tänka sig för. Sorgligt. Ni som ångrar er kan alltid begära att era barns DNS "destrueras" i efterhand...men som sagt; jag är absolut inte övertygad om att det faktiskt görs. Bästa att nobba INITIALT.
Konspirationsnoja? Nejdå, googla på och se själva.
Så här är det: Finns en post i en databas så är det - nästan uteslutande - FÖR ALLTID (det är som med Internet...som ju är en gigantisk databas). Och...man kan aldrig vara säker på att posten verkligen raderas - eller raderats ÖVERALLT - även om rutiner för detta finns.
Att lagra platsinformation (kortvarigt medan det är aktuellt för inloggning*) ses alltså som en utökad säkerhetsåtgärd. Vilket är vad det är.
*Att Finansiell ID-teknik skulle långtidslagra detta, för att följa konsumenternas rörelsemönster och sedan sälja informationen, är något jag inte kan uttala mig om. Det hör till konspirationsteorisfären.
Jag är 100% säker på att vi så småningom kommer att läsa om att polisen fått ut en persons position från Bank-ID - en position som gällde för flera veckor/månader före polisens förfrågan, som inte alls skulle ha "lagrats". Minns var ni läste detta.
Verkar krångligt när man bara behöver fråga teleoperatören som man gör idag.
Jag är 100% säker på att vi så småningom kommer att läsa om att polisen fått ut en persons position från Bank-ID - en position som gällde för flera veckor/månader före polisens förfrågan, som inte alls skulle ha "lagrats". Minns var ni läste detta.
Mina barn finns inte i forsknings-DNA-registret - det där som ABSOLUT INTE får användas av polis etc - BARA forskning (det har redan använts av polisen vid förundersökningar - helt utan konsekvenser - det är totalt laglöst på den nivån). Redan på BB så skriver nyblivna föräldrar på detta papper...utan att tänka sig för. Sorgligt. Ni som ångrar er kan alltid begära att era barns DNS "destrueras" i efterhand...men som sagt; jag är absolut inte övertygad om att det faktiskt görs. Bästa att nobba INITIALT.
Konspirationsnoja? Nejdå, googla på och se själva.
Så här är det: Finns en post i en databas så är det - nästan uteslutande - FÖR ALLTID (det är som med Internet...som ju är en gigantisk databas). Och...man kan aldrig vara säker på att posten verkligen raderas - eller raderats ÖVERALLT - även om rutiner för detta finns.
Förväntar du dej att dina barn ska bli kriminella?