S-Pankin kävijäseuranta osa 2/2

Updated at by

Kävijäseurannasta pari juttua ontuvin pankkitiskivertauksin. Asiakas on A, S-Pankki on P. Kävijäseurantapalvelu on X.

1. Osapuoli X

A tekee sopimuksen verkkopankkiasioinnista P:n kanssa ja luottaa heidän kykyynsä huolehtia henkilötiedoistaan. A ei ole tehnyt sopimusta X:n kanssa, jolle verkkopankkiasioinnin yhteydessä kerrotaan hänen liikkeistään (mm. selaimen osoiterivin sisältö). Näistä kriittisimpinä esimerkkeinä tili- ja sopimusnumerot sekä maksuliikenteen tunnisteet, jonka perusteella X voi todentaa kahden eri A:n välillä tapahtuneen tilisiirron.

Pankkisalaisuusohjeen Finanssialan Keskusliitto - Pankkisalaisuusohje 2009 pohjalta ajattelisin hyvänä lähtökohtana pitää seuraavaa: "Salassapitovelvollisuus sisältää myös sen, että sivullisille ei ilmoiteta edes sitä, onko tietty henkilö pankin asiakas vai ei" (Pankkisalaisuusohjeet 2009, 4). Tätä ohjetta ei noudateta, riittää kun asiakas kirjautuu verkkopankkiin.

Henkilötietolain perusteella en osaa sanoa ovatko nämä asiakkaan yksilöivät tiedot henkilötietoja. Kommentteja? Jos X saa tietoonsa että "A:lla on tilinumero T1, sopimusnumero T2, maksun arkisointitunnus T3, käyttää maksukorttia, hakee asuntolainaa", mutta ei tiedä tarkalleen kuka A on.

Toisaalta, jos X:n on Google ja jos A käyttää Googlen palveluja (esim. gmail), heillä on kyvykkyys yhdistää nämä vuodetut tiedot A:han.

Esimerkkinä. A asioi P:n pankkitiskillä. A:lle tuntematon henkilö X seuraa asiointia taka-alalta ja tarkkailemalla hänelle selviää asioita A:n tietoja. P ei kerro A:lle, että X on myös paikalla, joten A ei välttämättä ole edes tietoinen X:n olemassaolosta.

2. P:n huonot käytöstavat

Käyttöehdoissa, rekisteriselosteessa tai sopimuksessa, jonka A on tehnyt P:n kanssa, ei mainita että hänen tietojaan (vuodetaan) käsitellään myös Googlella, jonka päämaja sijaisee Yhdysvalloissa, Kaliforniassa.

3. P:n pyynnöstä haen X:n käviseurantapalvelun edellyttämän JavaScript-tiedoston.

Tässä tapauksessa X:n JavaScript-tiedosto haetaan X:n omalta palvelimelta, jolloin P:llä ei ole mitään mahdollisuutta varmistaa sen sisältöä. Tämä tiedosto olisi voitu tarjota myös P:n omalta palvelimelta, jolloin se olisi voitu auditoida.

Esimerkkinä. Pankkitiskillä P antaa A:lle paperin, johon X tekee muutaman lisäyksen ilman että P tietää mitä sinne on lisätty.

4. Mitä pahaa X:n JavaScript-tiedostossa on?

Ensinnäkin P ei hallitse tiedoston sisältöä. JavaScript on selainten ymmärtämä (Wikipedia - Javascript) komentosarjakieli, jolla voi keppostella selaimessa melko vapaasti esimerkiksi:

  • lähettää kaiken sivulla näkyvän X:n palvelimelle
  • muokata sivulla näkyvän sisältöä vapaasti
  • kopioida lomakkeille täytettyjä arvoja
  • vaihtaa lomakkeen arvoja ennen lähettämistä

5. Missä X:n palvelimet ja täten myös asiakastietoni sijaitsevat?

P:llä ei ole mahdollisuutta vaikuttaa X:n nimipalveluihin. Suurilla toimijoilla on useita konesaleja, maantieteelliseesti ja A:n käyttämän verkon mukaan mukautuvia liikenteen päätepisteitä. Jos X olisi Google, liikennee voi päätyä vaikka näihin IP-osoitteisiin, riippuen hieman kenen nimipalvelimia A käyttää:

  • 216.58.208.238 (Yhdysvallat)
  • 74.125.136.139 (Yhdysvallat)
  • 194.100.28.231 (Suomi)

S-Pankki toistaa mantraansa että Google on luotettava ja hyvä toimija, Google Analytics -palvelun käyttö S-Pankin verkkopalveluissa, EU-lainsäädäntö blablabla. Asiakastietosi ovat yhdysvalloissa. "You Have No Power Here".

6. Kenellä on pääsy X:n palvelimiin ja niissä oleviin tietoihin? (#foliohattu varoitus)

X sanoo että "ei kenelläkään paitsi P:llä", se näyttää riittävän P:lle. On melko kiistatonta, että X:n kotimaan turvallisuusviranomaisilla (N) on pääsy näiden X:n sisäisiin järjestelmiin. Entäpä jos N huomaa mielenkiintoisen A:n asioivan P:ssä? N voi helposti kohdentaa häneen hyökkäyksen tarjoamalla keppostelevan JavaScript-tiedoston normaalin kävijäseurannan sijasta.

7. P:n tiedotuspolitiikka

  • P ensin kieltää X:n suorittaman kävijäseurannan olevan ongelma, koska P:llä ja X:llä on keskinäinen sopimus. Millainen sopimus on A:n ja X:n välillä?
  • P väittää ettei henkilötietoja siirry X:lle. P:n olisi syytä tarkistaa mikä on henkilötiedon määritelmä. Käsittääkseni A:n tilinumero on henkilötieto. A:n maksukortin sopimusnumero ja tyyppi ovat henkilötietoja. Varsinkin kun X:n tapauksessa heillä on kyky yhdistää A:n ja hänestä vuodetut tiedot.
  • P yksipuolisesti ilmoittaa keskustelun olevan päättynyt "Kiitoksia keskusteluun osallistuneille", aivan kuin keskustelu olisi ohi...
  • P valehtelee ettei X voi yhdistää asiakkaita toisiinsa, kahden A:n välisen tilisiirron arkistointitunnuksen perusteella voi.
  • P lopettaa kävijäseurannan käytön, eikä myönnä että se oli toteutettu väärin tai pyydä asiakkailtaan anteeksi.

8. Keskustelusta

Argumentti Mikä vikana
Käytä Ghostery/uBlock/mikäikinä Käyttäjältä ei voida vaatia selainlaajenteen asentamista, jotta hän voi hoitaa raha-asioitaan ilman henkilötietojen vuotamista
X nyt tietää muutenki kaiken Ei liity tähän keskusteluun
Muttaku X:llä ja P:llä on SuperGoldBar-Sauna-tason sopimus X:llä ja A:lla ei ole sopimusta
Muttaku X:llä ja P:llä on sopimus A:lle ei edes tiedoteta tästä sopimuksesta
Muttaku X on luotettava toimija A ei edes tiedä että sellaiseen pitäisi luottaa
Muttaku X on luotettava toimija Vuonna 2013 X oli Snoobi analytics, onko tuttu?
Käyttävät kuitenkin X:n tekemää selainta Ei liity tähän keskusteluun

Leave a comment