Frågor om PostNords app - Bank-ID m.m.

Postnord i farten igen, införa nya features i sin app utan en vettig säkerhetsgenomgång.
Måste såga att buset är bra på att hitta luckorna

 

Om felet inte ligger på Bank-Id, och Tele2:s system inte har skäl att reagera, så borde de väl ha tagit stopp hos Postnord när fel person hämtar ut?
Fel person som identifierar sig borde ju ogiltigförklara identifieringen alternativt kräva att rätt person identifierar sig också.

 

Bank-ID har inget med detta bedrägeri att göra. Läs början av tråden så ser du att problemet är att PostNord kopplar mobilnummer till en individ oavsett om det är en annan som är mottagare av paketet.

Helt klart PostNords fel som försöker att peka ut Tele2 som skyldig.
Hur kan en e-handlare vara skyldig att garantera att ett mobilnummer på en order överensstämmer med mottagaren. Helt omöjligt.
Däremot har PostNord den bluffande individens identitet som godkände paketet med fingeravtryck i appen.

 

Jag får inte ihop hur det gått till rent praktiskt...

 

Varför har då PostNord stängt av möjligheten att legitimera sig med BankID, om det inte är något fel någonstans?

 

Nu missförstod du nog mig lite.

Att Bank-id inte är orsaken vet jag, det stod ju klart i artikeln.
Jag är också tveksam till hur Tele2 kan ha gjort fel i detta fall då det säkert är en "korrekt" genomförd beställning, fast i fel namn i bedrägligt syfte. Så länge det inte handlar om onormala antal med mobiler så finns det ingen anledning att reagera om övriga uppgifter ser ut att stämma.

Postnords app/system måste i min mening vara orsaken till problemet om den tillåter någon annan än adressaten att legitimera sig med Bank-id, eftersom samma sak normalt sett är omöjligt med fysisk legitimation. Med bud krävs mottagarens och budets id, samma borde rimligtvis gälla även med Bank-id.
Om fel person legitimerar sig, oavsett om det är digital som i detta fallet eller fysiskt så skall det nekas utlämning.

 

Nog har det väl med Postnords app att göra om den tillåter identifiaktion med BankID där inte namnet på BankID stämmer överens med adressatens namn.

 

Man kan ju undra om det är någon som varit inne och läst min instruktion...

 

Jo, om postnord inte hade infört att man kan nyttja bankid för att ta ut paket så hade detta aldrig hänt

 

Bank-ID får kanske fundera på någon typ av certifiering. Många integrerar Bank-ID som ett bevis på en säker tjänst men snubblar på att de inte gjort den grundläggande säkerhetsanalysen.

Du kan ha världens bästa lås men om du låser innan dörren är stängd så hjälper inte det

 

Lustigt att mina observationer i trådstarten blev till en skandal där flera företag skyller på varandra. Uppenbarligen fanns ett problem med Bank-ID-implementeringen i PostNord-appen.

Jag kan säga att jag förstår båda sidornas argument. PostNord har rätt i att den brottsliga handlingen och det ursprungliga problemet uppstår på Tele2:s webbsida när den felaktiga beställningen görs. Det kan man inte bortse ifrån, det är Tele2:s system som blir bedraget till en början. Men det innebär inte att PostNord borde ha lämnat ut paketen i fråga, det har ju skapat massa extra oreda och skada som kunde ha undvikits. Lösningen på problemet är helt enkelt att PostNord ändrar i sin app så att beställarens namn och Bank-ID-namnet måste stämma överens.

Nu är det många personer vars "verkliga namn" och namn som anges i folkbokföringen skiljer sig åt, ibland väsentligt. Så någon automatisk matchning tror jag inte på. Det man får införa är nog en manuell kontroll vid utlämnandet. Personalen kontrollerar att de båda namnen stämmer överens till rimliga gränser. Viss diskrepans måste kunna tillåtas. Det kan i så fall ändå uppstå bedrägerier, till följd av "social engineering" där en bedragare övertygar personalen, men jag kommer inte på någon bättre lösning.

Exempel på varför automatisk matchning inte borde kunna användas:
Många har en konstig/felaktig stavning på sina namn i folkbokföringen, och använder en annan stavning i verkligheten. Särskilt invandrare kan det gälla. Mohammed, Mohamud, Mohamed, det finns ju massor av varianter och stavningar och jag vet av egen erfarenhet att de själva inte vet vilken stavning som används hos Skatteverket. Men även svenskar kan det gälla. En "Lars" kanske heter "Lasse" i folkbokföringen. En "Anna-Maria" eller "Anna Maria" i folkbokföringen kanske kallar sig enbart "Anna", en "Ann-Louise" kanske stavar det "Annlouise" i verkligheten, en "Marianne" kanske heter "Mari-Anne" i folkbokföringen osv. Sen har folk andranamn, mellannamn, efternamn och annat. Det kan inte krävas att folk vid en beställning på nätet ska ange alla sina namn, inkl mellannamn och flera efternamn. Jag gissar att Bank-ID levererar en sträng som består av ett antal namn, utan att det anges vilka namn som är vilka.
Eller det kanske rent av är så att Bank-ID enbart levererar personnumret till tjänsten som begärt identifiering? Bank-ID:s funktion är ju just att säkerställa att ett visst personnummer har identifierat sig med en hög grad av säkerhet. Då kan appen xx eller tjänsten yy lita på att man kommunicerar med just ett visst personnummer. Är det ens möjligt för en tjänst - såsom PostNord:s app - att begära ett namn direkt från Bank-ID?


Vad tror ni? Tänker jag fel?

 

Du tänker helt rätt, vad jag kunde läsa mig till i Bank-ids api beskrivning levereras förnamn, efternamn samt Namn (antagligen hela) ut, inget mer.

 

Först och främst så tycker jag att det är ett solklart avtalsbrott av PostNord. I tjänstevillkoren i exempelvis MyPack Collect (som troligtvis är det vanligaste alternativet) följande:

Det är ju här det går helt snett. Mottagaren stärker ju aldrig sin identitet, utan personen visar bara att de har ett Bank-ID, som inte har något med mottagaren att göra.

Sen när det gäller exakt stavning så är det inget problem heller. Avsändaren kan kräva personnummer, och sedan hämtas exakt namn från folkbokföringen. Paketet skickas till den adressen med det exakta namnet. Postnord gör samma sak från sin app, man anger personnummer som hämtar exakt stavning från folkbokföringen, och enbart det personnumret kan verifiera namnet. Exakt matchning sker utan problem.

 

Som sagt, postnord har klantat sig igen.

 

Om mottagaren eller avsändaren inte kan/vill använda personnummer och namn från folkbokföringen så behöver de inte, men då får de heller inte använda BankID som verifiering. Simple as that.