Frykter at banken snoker

Mobilbank-appene fra Sparebank1 har tilgang til både kontaktliste, SMS og samtalelogg på telefonen din. Datasikkerhetsekspert ville aldri turt å bruke dem.

Frykter Snowden-tilstander: Elisabeth Roseng vil ikke gi verken banker eller andre mulighet til å overvåke hennes gjøremål og nettverk. Mobilappen fra Sparebank1 slettet hun umiddelbart da hun oppdaget at den krevde tilgang til personlige data fra telefonen hennes. 

Saken oppdateres.

Elisabeth Roseng reagerte kraftig da hun skulle installere siste skrik i bankverdenen: En mobilapp som gjør at du slipper å drasse rundt på kodebrikken du bruker i nettbanken.

Før hun takket ja til å prøve appen, spurte Roseng en bankrådgiver om den ville kreve tilgang til sensitive opplysninger på mobilen hennes.

Svaret var nei.

–Jeg ble feilinformert. Det er direkte useriøst, sier hun.

«Appen er en snoker»

Roseng, som er mer enn gjennomsnittlig opptatt av personvern, slettet appen umiddelbart. Deretter kastet hun seg inn i en opphetet diskusjon med Sparebank1 på nettstedet Twitter. Etter hvert ble Sparebank1 SMN i Trondheim involvert, uten at det bidro til å dempe gemyttene.

«Det må da være mulig å få en engangskode uten at dere skal ha mulighet til å vite så mye om meg og mitt?» tvitret Roseng.

Også Britt Lysaa, som er dataingeniør med over 20 års fartstid innen teknologi og sikkerhet, kastet seg inn i Twitter-diskusjonen.

«Appen til Sparebank1 er en snoker», skrev hun.

Roseng er kunde i Sparebank1 Nøtterøy-Tønsberg, men den tekniske løsningen for mobilappene er den samme i hele Sparebank1-systemet, SMN inkludert. Kodegeneratoren som Roseng bruker i nettbanken var ødelagt, og hun oppsøkte banken for å få en ny. Rådet hun fikk, var å installere en mobilapp som erstatter kodegeneratoren.

Da Roseng installerte programmet via app-butikken Google Play, dukket følgende spørsmål opp på skjermen:

«Engangskode trenger tilgang til: Telefonsamtaler, Meldinger og Nettverkstilgang. Godta?»

–Det var stikk i strid med det jeg hadde blitt forespeilet. Banken forsikret at de ikke ville snoke på telefonen min, men hvorfor skal jeg gi dem adgang til det? spør Roseng.

Brukes av det offentlige

Britt Lysaa kontaktet SMN direkte og spurte om hvordan appen er bygd opp, og hvordan den jobber. Hun er langt fra fornøyd med svarene hun har fått så langt.

–Det var ikke mulig å få ut av banken hva slags informasjon de samler opp, og hva den brukes til. Disse appene er utviklet for å gi en best mulig brukeropplevelse. Personvern er ikke vektlagt, sier Lysaa, som aldri ville turt å bruke verken BankID eller mobilløsningene som Sparebank1 tilbyr.

BankID kan også brukes til å logge inn på et stort antall offentlige nettsteder, inkludert Altinn, Nav, Helseportalen, Posten og Lånekassen. Hver gang du gjør det, legger du igjen elektroniske spor som identifiserer deg og ditt bruksmønster. Også teleselskapet du er kunde hos kan ha tilgang til den samme informasjonen, understreker Lysaa.

Dersom alle disse dataene koples sammen, kan det gi et skremmende godt bilde av enkeltindividers bevegelser og gjøremål.

Lysaas hovedpoeng er at informasjonen bankkundene får før de tar nye tjenester i bruk, er altfor dårlig. Den oppfatningen deler hun med Jon Wessel Aas, advokat og en av Norges fremste eksperter på personvern.

–Kunden må settes i stand til å ta informerte valg. Det har tilsynelatende ikke skjedd i dette tilfellet, sier han.

Ser Snowden-parallell

Når du søker opp en app i Google Play eller Apples Appstore, får du en kort beskrivelse. Blant storbankene Adresseavisen sjekket, er Nordeas beskrivelse den eneste som inneholder en personvernerklæring. Andre banker linker til nettsider der du selv må lete deg fram til informasjon om hva appen henter av data fra telefonen din.

Det er ikke godt nok, mener Wessel-Aas, som også mener personvernerklæringen på nettsidene til Sparebank1 har store mangler.

–Når kunden aksepterer vilkårene, skal det klart framgå klart hva appen har tilgang til å lagre, hvordan personopplysninger behandles og til hvilke formål de eventuelt blir brukt.

Erfaringene til Elisabeth Roseng tyder på at opplæringen internt i sparebankene er langt under pari, framholder Wessel-Aas. I prinsippet er problemstillingen beslektet med det NSA-varsleren Edward Snowden har satt søkelyset på, mener Wessel-Aas: Elektronisk overvåkning av intetanende borgere.

–De fleste er enige om at det er uakseptabelt å samle inn detaljerte data om borgeres aktiviteter og bevegelsesmønstre i en totalitær stat. I prinsippet er det ikke noe bedre at det samme skjer av private aktører i et demokrati, sier han.

–Like trygt som nettbanken

Sparebank1 fastholder at de ikke overvåker bankkundene sine, men lover å gi bedre informasjon.

–Denne saken er litt sær, fordi det framstår som vi gjør noe vi ikke gjør. Det er appen som har tilgang til informasjon på telefonen, den sendes ingen steder. Alt skjer inni boksen, som altså er kundens telefon, sier Baard Slaattelid, mobilbankansvarlig i Sparebank1-gruppen.

Slaattelid sier mobilbank- og engangskodeappen ikke ville fungert uten tilgang til internett, SMS og telefonens SIM-kort. Mobilbankappen ber i tillegg om tilgang til kontaktliste og mulighet til å ringe ut for å kunne utføre tilleggstjenester som sparebankene ønsker å tilby.

Samsung og andre telefoner med operativsystemet Android spør om tilgang idet du installerer appen. Iphone-brukere får spørsmål først når tjenestene tas i bruk.

Slaattelid mener bankkundenes personvern er like godt ivaretatt på mobil som på pc.

–Vi henter ikke data fra telefonen, forsikrer han.

Lagrer innloggingsdata

Banken registrerer likevel når og hvordan du har logget deg inn, og hvilken pc, nettbrett eller mobil du bruker. Dette er data som bankens it-avdeling må ha tilgang til av sikkerhetshensyn, eller for å kunne spore feil, ifølge Slaattelid, som mener det er en selvfølge at en bankrådgiver skal kunne gi eller framskaffe informasjon om tilgangen mobilappene krever på kundens mobil, og hvorfor.

–I denne saken har ikke det skjedd, og det er beklagelig. Via våre sider på Facebook eller Twitter er det enklere å treffe den rette kompetansen, sier han.

Kommunikasjonsdirektør Christian Brosstad beklager på vegne av Sparebank1-gruppen at informasjonen om mobilappene har vært for dårlig.

–Vi er allerede i gang med å utbedre informasjonstekstene om personvern i Google Play og Appstore. Vi er takknemlige for at våre kunder sier fra når de opplever at informasjonen ikke er god nok, sier han.

Også banksjef Bjørn Engaas i Sparebank1 Nøtterøy-Tønsberg beklager dersom Elisabeth Roseng føler seg feilinformert.

–Alle innspill som kan bidra til å bedre rutiner og informasjon er derfor positivt i denne sammenheng, sier han.

Dette forlanger bank-appene

Appene fra landets største banker har ulik utforming, men alle krever tilgang til data og/eller nøkkelfunksjoner på mobilen din. Her er oversikten:

  • Sparebank1: Kontaktliste, samtalelogg, SMS-system, ringesystem.
  • DNB: GPS, kamera, kontaktliste, SMS, brukernavn/passord til e-post og sosiale medier.
  • Danske Bank: GPS, kamera, telefonminne.
  • Eika-bankene: GPS, telefonminne.
  • Nordea: GPS, kontaktliste, SMS, ringesystem.
Dette er skjermbildet som dukket opp på Elisabeth Rosengs mobil da hun forsøkte å installere engangskodeappen fra Sparebank1. 

Dette er skjermbildet som dukket opp på Elisabeth Rosengs mobil da hun forsøkte å installere engangskodeappen fra Sparebank1. 

Kritisk: Informasjonen Sparebank1s mobilkunder får om personvern holder ikke mål, mener advokat Jon Wessel-Aas. 

Kritisk: Informasjonen Sparebank1s mobilkunder får om personvern holder ikke mål, mener advokat Jon Wessel-Aas. 

På forsiden nå