S-Pankki on-line banking has problems

Finnish bank hacking disaster: 150 data breaches, 53 frauds, loot of millions, a group of friends involved, bug has been on-line for months, allowed fraudent authentication to third party services (like medical records, taxes, etc.)

On Tuesday, S-Pankki (S-bank) announced a vulnerability that occurred in the spring and summer when identifying with online banking credentials. According to the bank, the glitch was used “to a very small extent” also for abuses, when logging in was successful with another person’s credentials. First reports of abuses were sent to police and bank in May 2022, bit in the bank’s view all the problems reported were caused by careless handling of online bank IDs by the customer. Actually the problem was a serious bug in bank on-line systems.

The police suspect that the series of frauds started in May and continued throughout the summer. Two Finnish people now in jail, one is 16 year old teen.

Sources and more information:
https://www.is.fi/digitoday/art-2000009070994.html
https://www.is.fi/digitoday/tietoturva/art-2000009069964.html
https://www.iltalehti.fi/digiuutiset/a/a80e3d4e-a1e4-4a7b-b824-ad3833dd1e25
https://www.iltalehti.fi/digiuutiset/a/a80e3d4e-a1e4-4a7b-b824-ad3833dd1e25
https://www.s-pankki.fi/fi/tiedotteet/2022/s-pankin-tunnistautumisessa-jarjestelmahairio-kesalla–tilanne-on-korjattu-ja-kaikkiin-asiakkaisiin-joita-hairio-koski-ollaan-yhteydessa/
https://pjarvinen.blogspot.com/2022/09/s-pankki-koettelee-luottamusta.html?m=1
https://www.hs.fi/talous/art-2000009066864.html

17 Comments

  1. Tomi Engdahl says:

    16- ja 23-vuotiaat espoolaismiehet siirsivät noin miljoonan edestä S-Pankin asiakkaiden rahoja itselleen, epäilee poliisi
    https://yle.fi/uutiset/3-12625574
    S-Pankkiin liittyvistä maksuvälinepetoksista epäillään 16- ja 23-vuotiaita espoolaismiehiä. Pääepäiltyjen lisäksi heidän lähipiiriään epäillään rahanpesurikoksista. Rahoja on käytetty matkusteluun, ostoksiin ja yleiseen makeaan elämään. S-Pankin asiakkaiden tileiltä tehdyistä oikeudettomista siirroista epäillään kahta espoolaismiestä, kertoo STT:lle tapauksen tutkinnanjohtaja, rikoskomisario Klaus Geiger Länsi-Uudenmaan poliisista. Epäiltyjen iät ovat 16 ja 23 vuotta.. Myös:
    https://www.is.fi/digitoday/art-2000009070994.html

    Reply
  2. Tomi Engdahl says:

    Vahvan sähköisen tunnistuksen luotettavuudesta ja turvallisuudesta huolehditaan Suomessa monin tavoin https://www.epressi.com/tiedotteet/telekommunikaatio/vahvan-sahkoisen-tunnistuksen-luotettavuudesta-ja-turvallisuudesta-huolehditaan-suomessa-monin-tavoin.html
    Sähköisen tunnistuksen luotettavuus ja turvallisuus ovat herättäneet paljon keskustelua S-Pankin kerrottua julkisuuteen häiriöstä, joka mahdollisti vahvan sähköisen tunnistuksen väärinkäytön huhtikuusta
    2022 elokuun 2022 alkuun. Julkisuudessa on tämän johdosta esiintynyt huolta vahvan sähköisen tunnistuksen luottamuksen ja turvallisuuden tasosta. Yksikään tietojärjestelmä ei ole 100 % turvallinen, mutta vahva sähköinen tunnistaminen ja rekisteröidyt tunnistuspalvelut ovat kuitenkin tarkasti säänneltyjä ja valvottuja.

    Reply
  3. Tomi Engdahl says:

    Viranomainen tutkii S-pankin tietoturvan pettämistä: Olisi hyvä, jos verkkopankkitunnusten käyttöä voisi rajata maksukorttien tapaan
    https://yle.fi/uutiset/3-12624627
    Asiakasmäärältään Suomen suurimpiin pankkeihin kuuluvan S-pankin tietoturvan pettäminen on huojuttanut monien luottamusta sähköiseen asiointiin. Häiriö mahdollisti sähköisen tunnistautumisen väärinkäytön huhtikuusta 2022 elokuun 2022 alkuun. Sähköisen tunnistamisen viranomaisvalvonta kuuluu Suomessa Liikenne- ja viestintävirasto Traficomille.

    Reply
  4. Tomi Engdahl says:

    S-Pankkiin liittyvistä petoksista epäillään 16- ja 23-vuotiaita espoolaisia – rahat makeaan elämään https://www.is.fi/digitoday/tietoturva/art-2000009073760.html

    Reply
  5. Tomi Engdahl says:

    Tämä S-Pankin tilanteesta tiedetään nyt: 150 tieto­murtoa, 53 petosta, miljoona­saalis, asialla kaveri­porukka https://www.is.fi/digitoday/art-2000009070994.html

    Reply
  6. Tomi Engdahl says:

    Varo! S-Pankki kertoi pahasta ongelmasta ja nyt pankin nimissä tulee huijaus­viestejä https://www.is.fi/digitoday/tietoturva/art-2000009066519.html

    Reply
  7. Tomi Engdahl says:

    S-pankin haavoittuvuuden huomasi valko­hattu­hakkeri – ilmoitti asiasta elokuun alussa https://www.is.fi/digitoday/tietoturva/art-2000009075440.html

    S-PANKISSA olleen haavoittuvuuden havaitsi niin sanottu valkohattuhakkeri, kertoo pankin digitaalisten palveluiden kehittämisestä vastaava johtaja Carl-Edvard Holmberg. Pankki sai ilmoituksen asiasta 3. elokuuta. Kyse on bug bounty -ohjelmasta, jossa yritys maksaa hakkereille siitä, että he havainnoivat yrityksen tietoturvaa ja raportoivat havaitsemistaan ongelmista.

    –  Saimme valkohattuhakkerilta ilmoituksen, että meidän järjestelmässä on tällainen potentiaalinen ongelma. Sitten ryhdyimme itse tutkimaan, mistä tämä johtuu, teimme tarvittavat korjaukset ja tietoturvatestaukset ja tuotantoon viennin. Häiriö saatiin pois järjestelmästä 5. elokuuta, Holmberg sanoo STT:lle.

    Poliisi tiedotti tällä viikolla, että S-pankin asiakkaiden tileiltä on tehty oikeudettomia siirtoja hyväksikäyttäen tietojärjestelmässä ollutta haavoittuvuutta. Epäilty rikoshyöty on noin miljoonan euron luokkaa. Poliisi epäilee asiassa muun muassa tietomurtoa ja törkeää maksuvälinepetosta. Pääepäillyt ovat 16- ja 23-vuotiaita.

    ”Ei pystytty tunnistamaan tällaista häiriötä”
    Helsingin Sanomat haastatteli pankin asiakasta, joka huomasin tililleen tunkeudutun jo toukokuussa. Varoja nostettiin useassa erässä, luottoa siirrettiin tilille ja tiliä tyhjennettiin. Asiakkaan mukaan hän oli yhteydessä sekä poliisiin että S-pankkiin.

    Holmberg ei kommentoi, kuinka moni epäiltyjen rikosten uhreista oli jo kesän aikana yhteydessä pankkiin. Entä miksi pankki ei reagoinut asiakkaiden ilmoituksiin ja ryhtynyt toimiin jo aikaisemmin?

    –  Sellaista ilmoitusta, josta me olisimme tunnistaneet tämän, ei ole tullut. Niistä ei pystynyt tunnistamaan tällaista häiriötä, hän sanoo.

    Tietosuojavaltuutettu on ilmoittanut tutkivansa, onko S-pankki huolehtinut asianmukaisesti asiakkaiden tietojen suojaamisesta ja miten pankki on reagoinut tietoturvaloukkaukseen.

    Holmbergin mukaan pankki on tavoittanut kaikki asiakkaat, joita väärinkäytökset koskevat. Iso osa taloudellisista vahingoista on korvattu ja loput tullaan korvaamaan, hän sanoo.

    Reply
  8. Tomi Engdahl says:

    S-Pankin haavoittuvuus herätti kysymyksen: Voiko pankki­tunnuksiin luottaa? Näin vastaa asian­tuntija https://www.is.fi/digitoday/tietoturva/art-2000009072527.html

    Reply
  9. Tomi Engdahl says:

    S-PANKIN järjestelmiin hyökänneet espoolaismiehet onnistuivat jopa varastamaan rahaa useilta pankin asiakkailta. Hyökkäys iski äärimmäisen arkaan paikkaan: niin sanottuun vahvaan sähköiseen tunnistautumiseen ja sen ylivoimaisesti yleisimpään muotoon eli verkkopankkitunnuksiin.

    Reply
  10. Tomi Engdahl says:

    Kommentti: S-Pankin katastrofi iski arkaan paikkaan – nyt koetellaan ihmisten luottamusta https://www.is.fi/digitoday/tietoturva/art-2000009066441.html

    Yhteiskunta perustuu – tai sen pitäisi perustua – luottamukseen. Jos tunkeutujille annetaan avaimet käteen, usko sähköisten palveluiden luotettavuuteen on koetuksella, kirjoittaa Ilta-Sanomien digitoimittaja Henrik Kärkkäinen.

    S-PANKIN tänään julkisuuteen kertoma järjestelmähäiriö on samaan aikaan suhteellisen pieni että massiivinen asia.

    Suhteellisen pieni se on siksi, että sen mittakaava on kaukana massiivisista tietovuodoista, kuten historiaan jäävästä Vastaamosta, jossa kymmenien tuhansien ihmisten psykoterapiatiedot päätyivät vääriin käsiin.

    Se on suuri asia siksi, että se iskee tietoyhteiskunnan arkaan paikkaan: luottamusverkostoon. Ei ole liioiteltua kutsua sitä ainakin pieneksi katastrofiksi.

    Luottamusverkosto on ketju, joka muodostuu vahvaa tunnistautumista edellyttävien palveluiden verkostosta. Siellä ovat viranomaisten ja pankkien lisäksi lukemattomat yritykset ja muut toimijat. Se on täynnä luottamuksellista ja henkilökohtaista tietoa pankki-, ja veroasioista aina terveysasioihin. Pankkitunnukset ovat avain tähän verkostoon mobiilivarmenteen ja sähköisen henkilökortin ohella.

    Tämäkin ketju on yhtä vahva kuin heikoin lenkkinsä. Kun avaimet ovat väärissä käsissä, jälki voi olla rumaa. Samalla verkkopankkitunnuksella aukeaa sähköinen ovi kuin ovi.

    PANKIN ilmoitus ongelman syystä on oireellinen. Se kertoi ongelman olevan ”tunnistautumisen järjestelmähäiriö yhdessä komponentissa” asiaa sen kummemmin kysyttäessäkään erittelemättä.

    Tämä tarkoittaa yleensä ohjelmistovirhettä, mikä on paha asia.

    Sähköisessä tunnistautumisessa on kyse luottamuksesta digitaaliseen yhteiskuntaan.

    Luottamukseen liittyvät vahvat tunteet. Satojen S-Pankin asiakkaiden ahdistus ja epätietoisuus tällä hetkellä on todellista. Tieto siitä, että joku on voinut kirjautua pankkitunnuksillasi katselemaan terveystietojasi, ottamaan pikavippejä nimissäsi tai urkkimaan vaikkapa verotietosi, on kalvavaa.

    Pankille voi olla kuvassa asiakaspakoa, joukkokannetta tai vähintään isoja tahroja julkisuuskuvassa.

    Ja mikä pahinta, monen asiakkaan luottamus digitaaliseen yhteiskuntaan tällä hetkellä on tuskin kovin suurta.

    Reply
  11. Tomi Engdahl says:

    Anneli yritti kertoa S-pankille tilinsä väärinkäytöstä turhaan – pankki ei uskonut
    S-pankki ei reagoinut, vaikka Anneli oli tilinsä väärinkäytöstä pankkiin yhteydessä jo kuukausia sitten.
    https://www.iltalehti.fi/digiuutiset/a/822b4dbf-3e59-4ac6-bcf1-9fe41063f6e3

    Anneli uskoo joutuneensa S-pankin tietomurron uhriksi.
    Hän oli asiasta yhteydessä pankkiin ensimmäisen kerran jo kesäkuussa.
    Pankki ei uskonut, että Annelin tiliä ja korttia olisi käytetty väärin.

    S-pankin verkkopankkitunnuksilla tunnistautumisessa oli usean kuukauden ajan ongelmia, jotka mahdollistivat toisen asiakkaan verkkopankkiin kirjautumisen.

    Ongelmia esiintyi huhtikuun lopun ja elokuun alun välillä.

    Häiriö mahdollisti S-pankin mukaan muutaman sadan asiakkaan pääsyn toisten asiakkaiden verkkopankkeihin. Kaikki heistä ei kuitenkaan törmännyt virheeseen eikä siten kirjautunut väärään henkilön pankkiin.

    S-pankin mukaan järjestelmähäiriötä hyödynnettiin myös väärinkäytöksiin, kuten luvattomiin maksuihin ja kolmansien osapuolten verkkopalveluihin kirjautumiseen.

    Poliisi tutkii tapausta.
    Kortti suljettiin

    Annelilla on ollut S-pankin luotollinen pankkikortti. Hän on ollut jo kauan pankin asiakas.

    Toukokuussa Annelin ei tarvinnut S-pankin luottokorttia käyttää, sillä kortti oli hänellä vain varalla, mikäli suurempia ostoksia tarvitsi tehdä. Hänellä oli kortilla 2 500 euron luottoraja.

    Kesäkuun alussa hän sai pankilta kuitenkin viestin, jossa kerrottiin, että hänen korttinsa oli suljettu epämääräisten nostojen takia.

    Anneli huolestui tilanteesta ja kirjautui verkkopankkiin katsomaan ja selvittämään, mitä oli tapahtunut.

    Hän huomasi kortin uuden luottorajan olevan 8 000 euroa. Lisäksi tililtä ja kortilta oli tehty suuria yksittäisnostoja.

    Korkea luottoraja tuli Annelille täytenä yllätyksenä, sillä hän ei ollut koskaan allekirjoittanut tai hyväksynyt luottorajan nostoa, saati sellaista tehnyt.

    Annelin tililtä ja kortilta oli tehty suuria nostoja. Tiliotteelta selvisi, että suurin siirto luotolta tilille oli 3 000 euroa. Tuhansien eurojen nostoja ja siirtoja oli tehty useampia.

    Anneli otti tilanteen huomattuaan välittömästi yhteyttä pankkiin, josta hän sai erittelyn tilitapahtumista edellisen kolmen kuukauden ajalta.

    Iltalehti on käynyt läpi tilitapahtumat.

    Korttia ja sen luotto-ominaisuutta ei juuri ollut käytetty ennen toukokuun loppua. Kolmen päivän aikana Annelin tililtä oli tehty 89 tilisiirtoa, joita hän ei itse tunnista.

    Yhden päivän aikana hänen luotoltaan oli siirretty käyttötilille ensin 2 500 euroa ja myöhemmin samana päivänä vielä 3 000 euroa.

    Kaikki tunnistamattomat tilitapahtumat ajoittuivat toukokuun loppuun muutaman päivän ajalle.

    Annelille tuntemattomat yritykset ja yksityishenkilöt olivat tehneet nostot.

    Kokonaissaatavat nousivat S-pankin luottokortilla yli 8 200 euron suuruisiksi. Lisäksi summaan lisätään korko- ja perintäkulut.

    Pankin reaktio

    Asian tultua ilmi Anneli teki reklamaation pankkiin. Hän selitti tilanteen ja kertoi, ettei ole kyseisten päivien aikana nostoja tehnyt eikä ollut koskaan kyseisistä yrityksistä kuullutkaan. Pankissa suhtauduttiin Annelin kertoman mukaan tilanteeseen vähätellen.

    Iltalehti on nähnyt Annelin ja pankin välistä kirjeenvaihtoa.

    Ensimmäisen yhteydenoton jälkeen pankki lähetti viestin, jossa pahoiteltiin tilannetta.

    – Ymmärrämme, että tilanne on harmillinen. Emme kuitenkaan valitettavasti voi hyvittää tapahtumia, vaan ne jäävät vastuullesi, S-pankin viestissä todetaan.

    Anneli teki asiasta rikosilmoituksen.

    Anneli oli yhteydessä S-pankkiin puhelimitse ja yritti selvittää tilannetta pankin kanssa. Hänelle selvitettiin, että siirrot oli tehty Samsung-merkkisestä puhelimesta tiettynä päivänä. Anneli yritti selvittää, ettei hänellä ole kyseistä puhelinta eikä muutakaan älypuhelinta.

    S-pankki kuitenkin pyysi tilanteesta lisäselvitystä, johon Anneli toimitti kaikki mahdolliset dokumentit ja selvitykset, jotka vain suinkin keksi. Hän selvitti, ettei hänellä ole kyseistä puhelinta eikä hän ole näyttänyt, hävittänyt tai antanut kenellekään verkkopankkitunnuksia tai avainlukulistaa. Selvitys piti sisällään myös kuitit auton tankkauksesta ja tapaamiset, joissa hän oli ajanjaksolla käynyt.

    Lakimies avuksi

    Anneli kertoo, että eräässä pankkivirkailijan kanssa käydyssä puhelinkeskustelussa virkailija kyseenalaisti Annelin kertoman ja sanoi, että vaikuttaisi siltä, että Anneli on suunnitellut teon yhdessä ulkomaalaisen ex-puolisonsa kanssa ja että rahat on siirretty ulkomaille.

    Anneli palkkasi lakimiehen avukseen.

    Anneli vaatii lakimies välityksellä S-pankilta vahingonkorvausta rikoksia vastaavan summan edestä, korkokustannuksia sekä asianajokuluja.

    Myös Annelin lakimies kiinnitti pankille lähettämässä viestissä huomiota tylyyn kohteluun asiakkaita kohtaan.

    – Asiaan on suhtauduttu vähättelevästi ja jättäen asiakas pulaan. Ollessani pankkiinne yhteydessä sain jäädytettyä luottolaskun perinnän asian selvittelyn ajaksi, kerrotaan lakimiehen viestissä.

    Asian selvittely on yhä kesken. Anneli kertoo, ettei ole saanut yhteydenottoa S-pankista. Iltalehti ei ole pystynyt varmistamaan, onko Anneli S-pankin tietomurron uhri, koska Anneli ei ole saanut tähän liittyvää yhteydenottoa pankista, vaikka pankki väittää olleensa yhteydessä kaikkiin asiakkaisiin, joita asia koskee. Kaikki Annelin tapauksen yksityiskohdat kuitenkin viittaavat kyseiseen tietomurtoon.

    Reply
  12. Tomi Engdahl says:

    Pertti Aallon S-pankin tililtä varastettiin 2 000 euroa ja epätietoisuus jatkui kuukausia: ”Pankista sanottiin, että lasku kannattaa vain maksaa”
    https://www.hs.fi/talous/art-2000009066864.html

    S-pankki kertoi tiistaina verkkopankissaan olleesta häiriöstä, joka koskettaa satoja pankin asiakkaita. Pertti Aallon tililtä vietiin 2000 euroa toukokuussa. Tekijöiden jäljet johtavat poliisin mukaan ulkomaille.

    Reply
  13. Tomi Engdahl says:

    HS: S-Pankin haavoittuvuuden uhreja jo 300, saalis yli miljoonan – rahat uhka­peleihin ja Louis Vuittoniin https://www.is.fi/digitoday/tietoturva/art-2000009090640.html

    S-PANKIN kärsimä tietomurtosarja koskee jo noin 300:aa pankin asiakasta, tapauksen tutkinnanjohtaja kertoi Helsingin Sanomille. Aiemmin oli arvioitu, että petossarjassa olisi noin 200 asianomistajaa. Samalla varkauden kokonaismäärän arvioidaan ylittäneen miljoona euroa.

    S-Pankin tietojärjestelmän haavoittuvuus mahdollisti rikollisille asiakkaiden verkkopankkitunnusten väärinkäyttämisen. Seurauksena tileille tunkeuduttiin ja niiltä vietiin rahaa. Tapaus on Suomen historiassa poikkeuksellinen, koska verkkopankkitunnukset ovat niin sanottu vahva tunnistautumisen muoto, jota on pidetty erittäin turvallisena.

    Vangittuina olevat pääepäillyt, 16- ja 23-vuotiaat henkilöt, käyttivät rahaa oletetusti myös rahapeleihin, matkustamiseen, lähiomaisten velkojen maksamiseen, kryptovaluuttoihin, huumeisiin ja luksustuotteisiin, kuten Louis Vuittonin laukkuihin. Tutkinnanjohtajan mukaan rikoshyödyn takaisin saaminen on kovan työn ja kaivamisen takana.

    Reply
  14. Tomi Engdahl says:

    S-Pankin petossarjasta epäillyt 16- ja 23-vuotias törsäsivät rahoja Louis Vuittonin laukkuihin ja rahapeleihin https://www.hs.fi/kotimaa/art-2000009086841.html
    Poliisin mukaan epäillyt käyttivät S-pankin asiakkaiden tileiltä vietyä rahaa muun muassa matkustelemiseen ja ylellisyystuotteisiin.
    Rahaa annettiin myös kavereille ja sillä maksettiin lähiomaisten velkoja.

    Reply
  15. Tomi Engdahl says:

    Sadat S-Pankin asiakkaat menettivät rahojaan järjestelmähäiriön vuoksi
    - – riittävätkö tapauksen rahkeet ryhmäkanteeseen?
    https://www.tivi.fi/uutiset/tv/1dd4385e-99ed-45c6-a667-285aa4e73fd8
    Ryhmäkanne voi olla paikallaan tilanteessa, jossa moni on kokenut samanlaisen taloudellisen vahingon. Toistaiseksi ryhmäkannelakia ei ole koskaan jouduttu käyttämään.

    Reply

Leave a Reply to Tomi Engdahl Cancel reply

Your email address will not be published. Required fields are marked *

*

*