• Ola.S Betalning/Faktura

    @Adnan

    Minns inte om det var Tink jag testat, men har kört en liknande app. Skillnaden här är att de är väldigt öppna med att du lämnar ifrån dig kontrollen över din inloggning. Ser att Tink skriver utförligt om detta i sin integritetspolicy, så där råder inga tveksamheter om detta. (https://consumer.tink.se/anvandarvillkor, punkt 2.1).

    Man skall nog fortfarande tänka sig för en extra gång dock. men I detta fallet kan man tycka att det är något mer motiverat, eftersom det är uppenbart att Tink behöver samla in en hel del data om dina konton för att fungera. Den stora skillnaden är dock att man som användare blir informerad om vad som sker.


    Kan inte säga säkert angående de andra, men jag kan inte minnas att jag har sett Klarna göra något liknande. Jag använder det ofta, och skulle ha reagerat om de gjorde samma sak.

  • Ola.S Betalning/Faktura

    @mlo

    Trevligt att få lite medhåll!

    Precis, som du skriver så är det viktigt att kolla vilken part det är som initierar identifieringen. Om du är på Billograms hemsida när du initierar identifieringen (anger personnummer) så skall du aldrig egentligen godkänna om det står exempelvis Swedbank i BankID.

    Jag har pratat med representant från BankID/Swedbank. Policyn som gäller (för Swedbank) står i PDF:en som jag länkade till, och den talar ju sitt tydliga språk. Att forcera en sådan policy är tydligen svårt på grund av bl.a. juridiska skäl, men exakt varför fick jag aldrig veta.

    Till viss del så handlar ju detta om att bankerna inte riktigt hänger med i utvecklingen, och erbjuder inte de API:er som krävs för bättre integrationer. Tjänster som Billogram har då inget val utan måste ta till den här typen av metoder om de vill kunna erbjuda smidigare tjänster. Detta är ju förstås på bekostnad av användarens säkerhet och integritet, och valet blir då att försöka tysta ner problemen.

    Jag tror att Billogram är väl medvetna om att de använder metoder som inte är helt OK, och jag tror inte de bryr sig helt enkelt. Det är beklagligt att varken BankID eller Swedbank verkar ha så stort intresse för att styra upp detta.

    Det hela hade kunnat göras betydligt bättre genom en så enkel åtgärd som att bara ändra det meddelande man ser i BankID när man signerar. Meddelandet idag lyder "I identify myself at: Swedbank and Sparbankerna", och detta är ganska vagt och lätt att missbruka för nätfiske. Om det stod en tydligare varningstext i BankID som mer reflekterade den nivån av access som efterfrågas (lite som när man installerar appar på ios/android) så hade det varit betydligt bättre än i nuläget.

    Nu har jag lyft frågan i alla fall, men för min del orkar jag inte driva den vidare. Intresset verkar tyvärr ganska svalt, och problemet är att det är få som tar säkerheten på allvar, eller fullt ut förstår vad det kan ha för konsekvenser.

  • Ola.S Betalning/Faktura

    Hej Isabelle, och tack för ditt svar.

    Jag har läst integritetetspolicyn och den beskriver ingenting som har med kärnproblemet att göra. Att du hänvisar till policyn tolkar jag som att du inte läst den själv, eller inte förstått själva problematiken som jag beskriver.

    Är det något som är oklart - fråga så utvecklar jag gärna varför detta är ett problem.

    Min enda mening var att informera om problemet för andra användare, samt förhoppningsvis sätta lite press på Billogram eftersom det är lågt av en stor aktör inom denna branchen att agera på det sättet. Man förväntar sig bättre helt enkelt. Det är inte alltid lätt för konsumenter att avgöra vad som är säkert och inte, men man bör kunna förvänta sig av välkända tjänsteleverantörer att de använder sig av seriösa och säkra metoder. Billogram har för min del brutit det förtroendet.

    Observera att kritiken är inte var riktad mot Vimla, men det faktum att ni ställer er bakom metoden OCH genomförandet är för mig ett tecken på att ni själva inte förstår er på omfattningen av detta problemet, och det i sig själv är tyvärr inte särskilt förtroendeingivande för Vimlas del.

  • Ola.S Betalning/Faktura

    Tack Alex för ett utförligt svar.

    Jag förstår att de inte använder mer information än vad som är nödvändigt, men jag är skeptisk till metoden, särskilt när man inte informerar tydligt om vad som sker, och varför.

    När jag pratade med Billograms support så påpekade de flera gånger att de inte sparade känslig information, vilket förstås är bra, men det visar också att de har missat hela poängen med kritiken.

    Det hela handlar om att man ger dem en fullmakt till att komma åt innehållet i ens internetbank. Till att börja med så är det en ytterst tveksam metod (även enligt Swedbank själva), men det absolut minsta man kan kräva är att Billogram borde informera om det - men det gör de alltså inte.

    Man blir alltså som användare förd bakom ljuset, och det är åtminstone inte för mig särskilt förtroendeingivande.

  • Ola.S Betalning/Faktura

    På tal om integritet så har jag valt att inte visa mitt fullständiga namn i inställningar för forumet här på Vimla, men det verkar helt uppenbart inte fungera.

  • Ola.S Betalning/Faktura

    Häromdagen skulle anmäla mig till autogiro i Billogram, men jag avbröt processen halvvägs på grund av en stor röd flagga i samband med att jag blev ombedd att identifiera mig mot Swedbank.

    Det som händer när man skall anmäla sig till autogiro (åtminstone för Swedbank) är att man ombeds av Billogram att ange personnummer och sedan använda BankID för att godkänna inloggning.

    Normalt sett hade inte detta varit ett problem, d.v.s. det finns många tjänster som använder BankID för identifiering. Det som är tveksamt här är att det är Billogram som ställer frågan, men godkännandet gäller inloggning till Swedbanks internetbank. I praktiken så ger du alltså Billogram fullständig access till din internetbank, vilket i praktiken innebär att de har möjlighet att se fullständig kontohistorik, fakturor, lån, fondplaceringar, läsa och skicka(?) meddelanden och mycket mer.

    Av allt att döma så integrerar Billogram alltså med swedbank genom att de simulerar en inloggning på din internetbank.

    Hur ser man att det är detta som sker? Jo, meddelandet som man får i BankID när man skall anmäla autogiro är identiskt med det meddelande som man får när man loggar in i Internetbanken.

    Aldrig tidigare har jag behövt godkänna något sådant när jag anmält mig till autogiro, och jag är ytterst tveksam till att ge fullständig tillgång till så mycket information utan särskild anledning.


    Jag vet att många nog inte orkar bry sig, men själv litar jag då inte tillräckligt på Billogram för att ge ut så mycket personlig data utan mer information om exakt vad som sker och varför. Jag förstår att anledningen är att det skall vara enkelt för slutanvändaren, men vad man ger upp för detta ändamål är knappast motiverat.

    Det hela blir betydligt mer tveksamt med tanke på att:

    1. Deras support (via chatt) påstår att de inte har tillgång till mer information än vad som är absolut nödvändigt - alltså en ren lögn

    2. De är inte tydliga med vad man skriver under på, utan hänvisar bara till allmänna användaravtal (jag har inte hittat någon information där som klargör detta dock.)


    Eftersom mitt förtroende för Billogram är i det närmaste noll med tanke på detta så kommer jag personligen fortsätta att använda Swish för betalningar tills vidare. Sker det inte någon förändring i hur Billogram hanterar detta, eller om inte Vimla byter betalleverantör så blir det nog ett byte av abonnemang inom kort för min del.


    Lite mer information direkt från Swedbank finns i detta dokumentet (pdf)

    Citat från dokumentet:

    "En ganska ny företeelse inom internethandeln är den tjänst som kallas Overlay Payment Service. När en e-handlare erbjuder denna tjänst är det är inte alltid tydligt för dig som köpare vad det innebär eller vilka risker som kan uppstå."

    "Vad är Overlay Payment Service? Det är en tjänst där en aktör (en Overlay Service Provider, OSP) gör sig själv till mellanhand mellan dig som köpare och din internetbank."

    "Har banken avtal med någon OSP? Nej, Swedbank anser att Overlay Payment Service innebär en allt för stor risk för dig som köpare eftersom den innebär att du förmås att lämna över dina inloggningsuppgifter och koder till din internetbank till någon annan för att kunna betala."

    Billogram ber dig (såvitt jag vet) inte att genomföra betalningar på detta sättet, men den information de får tillgång till genom inloggning till internetbank borde vara skäl nog för att avstå.


    Jag skulle gärna vilja ha svar på hur Vimla förhåller sig till detta. Gärna även från Billogram. Möjligen får man ett rakare svar på ett publikt forum än vad man får i deras supportchatt.

  • Ola.S Teknisk Support

    @Gareth

    Det är en Xiaomi Redmi Note 3

  • Ola.S Teknisk Support

    @Asawi Proxy var inte blankt, hade missat det. Nu ser det ut att fungera som det skall, tack!

  • Ola.S Teknisk Support

    @Gareth

    Tack för tipsen. Nu har jag visserligen en telefon med två simkortsplatser, men har bara ett simkort. APN-inställningarna stämmer överens med de som stog på länken, så det verkar inte ha hjälpt för mig i alla fall.

  • Ola.S Teknisk Support

    Konstigt detta. Testar jag med wifi-tethering från datorn så kan fungerar det som vanligt. Samtidigt fungerar det inte om jag testar direkt på telefonen.

    Testade nu även att ladda urlen med curl via ett shell på telefonen (via adb), och där fungerar det (dock problem med validering av ssl-cert, men förmodar att det bara är att det är orelaterat till problemen.

    Så man kan ju i alla fall konstatera att det inte är nätverket som blockerar access. Kanske är så att problemet ligger i min telefon ändå.