Kulutusjuhla

OP estää käyttämästä ulkopuolista nettipalvelua oman talouden hallintaan

Sami käyttää mielellään oman talouden kirjanpidon välineitä, mutta nyt Osuuspankki saa moitteita toiminnastaan: ”Viime aikoina olen kokeillut kiinnostuneena ja ilahtuneena Balancionia. Kyseessä on siis verkkopalvelu, joka imuroi päätepankista tiedot tilien ja korttien käytöstä ja tekee niistä mielenkiintoisia tilastoja. Maailmalla tuonkaltaisia palveluita on ollut jo pitkään, tunnetuimpana esimerkkinä varmaankin Mint.

Tänään tuli kokeiluille kuitenkin stoppi: Osuuspankki kieltää tiedotteessaan Balancionin kaltaisten ulkopuolisten palveluiden käyttämisen.Harmin paikka.

Tilastointi ei kuitenkaan lopu tähän. Osuuspankilla on itselläänkin päätepankissa samankaltainen palvelu, nimeltään Oma talous. Olen käyttänyt tuota palvelua raha-asioideni seurantaan siitä asti kun se on ollut mahdollista, useampia vuosia jo. [- – -]  Jos tämä teksti nyt sattuu jotenkin päätymään Osuuspankissa asioista päättäviin silmiin, lukekaapa tarkasti: On ihan ymmärrettävää että kiellätte Balancionin ja muiden senkaltaisten palveluiden käyttämisen, viehän se maksavia asiakkaita omalta lisäarvopalvelultanne. Mutta alkakaa nyt helvetissä kehittää sitä palveluanne ja korjatkaa ihan ensimmäisenä bugi joka estää omien tilien välisten siirtojen suodattamisen! Ja tiedottakaa palvelustanne niin että saatte sille käyttäjiä eikä heidän tarvitse etsiä ulkopuolisia palveluita. Ja rakentakaa tilitiedoille sellainen turvallinen rajapinta että voin käyttää taloustietojani muuallakin kuin päätepankissa.” (Mari Koo)

9 Comments

  1. Eiköhän tuollaisten palveluiden kieltämiseen ole ihan hyvät tietoturvaperusteet. Kaikkien pankkien verkkopankkisopimukset varmasti kieltävät tunnusten antamisen kolmannelle osapuolelle.

    Eri asia sitten, pitäisikö pankkien tarjota API tällaisia palveluita varten.

  2. Hei

    Pankkitunnuksia käytetään kuitenkin tunnistukseen monessa muussa palvelussa joilla ei ole pankkitoiminnan kanssa tekemistä. ihmeellistä että näitä saa käyttää. OP yrittää tässä vain kampittaa kilpailijaa.

  3. Tupas-tunnistus on ihan eri juttu kun nämä balancioniat. Siinä on kyse juuri sellaisesta pankin tarjoamasta APIsta jota edellisessä kommentissa peräänkuulutin.

    Olennainen ero on tässä: tupas-tunnistuksessa annat pankkitunnuksesi pankille, etkä sille taholle, joka haluaa varmistua henkilöllisyydestäsi. Kyseinen taho saa pankilta ainoastaan tiedon siitä, kuka sinä olet. Balacionian kaltaisessa palvelussa sen sijaan sinä annat pankkitunnuksesi tälle kolmannelle taholle jotta se voisi käyttää verkkopankkia sinun puolestasi.

    Ero voi tuntua tekniikkaa tuntemattomasta mitättömältä, mutta se on oikeasti valtava.

  4. Balancionin FAQ:n mukaan sovellus ei itse pyydä eikä tallenna verkkopankkien tunnistautumistietoja, vaan ohjaa käyttäjän pankin omalle kirjautumissivulle: https://www.balancion.com/app/static/ukk#q25

    Tietoturvamielessä riskit ovat nähdäkseni asiakkaan yksityisen tapahtumainformaation ohjaaminen asiakkaan selaimelta kolmannen osapuolen palvelimelle ja niiden tallentaminen sinne, jolloin asiakkaan ja pankin välinen yksityisyyden suoja ei ole täysin OP:n hallinnassa. OP saattaa myös pelätä Balancionin aiheuttamaa ylimääräistä verkkoliikennettä tilitapahtumien hakemisen yhteydessä. Itse ajattelen asiakkaan yksityisen tapahtumatiedon olevan todennäköisesti paremmassa talllessa Balancionin valvotussa palvelinympäristössä kuin keskimääräisen asiakkaan omalla koneella.

    • Luin tuon FAQ:n kyllä. Uskon tuohon väitteeseen sen jälkeen, kun FAQ:ssa tai muualla selostetaan teknisellä tarkkuudella kuinka tuollainen SSL/TLS-istunnon kaappaus toteutetaan. (Ja sen jälkeen pohdin, pitäisikö siitä tehdä turva-aukkoilmoitus CERT-FI:lle.)

      Oma arvaukseni on, että Balancion toimii man in the middle -asemassa eli on pankin ja asiakkaan välissä. Tällöin tuo FAQ:n väite siitä, että Balancion ei tunnuksia itse pyydä, on itse asiassa väärä.

      Testaamaan en itse ala.

      • En tiedä teknisiä yksityiskohtia, mutta sain tuosta sellaisen käsityksen, että Balancionin verkkopalvelu ei toimi man-in-the-middle -periaatteella, vaan asiakkaan koneelle asennetaan softa, joka ”etäkäyttää” asiakkaan valmiiksi avaamaan verkkopankkisessiota asiakkaan koneelta käsin, ja välittää tiedot edelleen salattuina Balancionin palvelimelle. Hieman pelottava ajatus tämäkin, mutta ohjelma ei siis sentään voisi avata uutta sessiota asiakkaan verkkopankkiin.

        Jos Balancionin heput ovat kuulolla, niin olisi kiva, jos täsmentäisitte hieman tuota teknistä toteutusta. Vielä uskottavampaa, mikäli julkaisisitte koko softan lähdekoodin avoimena 🙂

        • Mjoo, jos kyse on käyttäjän koneella ajettavasta asiakasohjelmasta, tilanne on kieltämättä epäselvempi. Selkeintä tilanne olisi minusta, jos asiakasohjelma toimii pelkästään lokaalisti, eli ei juttele Balancionin palvelimen kanssa lainkaan.

          Mutta tietoturvan kannalta paras ratkaisu olisi, jos Balancion kehittäisi pankkien kanssa yhteistyössä rajapinnan tällaista toimintaa varten. Toimiminen pankkien ”selän takana” on ongelmallista.

          Tosiasiahan on se, että jos riittävän moni hurahtaa vastaavalla tavalla tehtyyn huijaukseen (enkä nyt ollenkaan tarkoita, että Balancion olisi huijaus), pankeille tulisi aika isot paineet korvata asiakkaittensa menetykset. Siksi pankeilla on ihan ymmärrettävä intressi yrittää suitsia tällaiset heidän kanssaan sopimatta luotu järjestelmät.

  5. Vielä tuosta OP:n tiedotteen sisällöstä: hieman erikoisesti ilmaistu tuo kohta ”Esimerkki sopimuksen vastaisesta käyttötavasta on tilitapahtumien haku sellaisen ulkopuolisen tahon palvelulla tai ohjelmalla, jota pankki ei ole hyväksynyt.” Kirjaimellisesti otettuna tämä tarkoittanee, että OP:n verkkopankkia saa käyttää vain OP:n hyväksymillä selainohjelmilla, ilman esimerkiksi Firefoxin lisäosia. Kusessa ollaan, jos pankit ryhtyvät rajoittamaan verkkopalvelujensa käyttöä siten, että niitä voi käyttää vain tietyillä selainohjelmilla.

    Ainiin, mutta Sampo töks pankkihan keksi sen jo.

  6. Juho Makkonen kirjoittaa aiheesta: ”Viime päivinä palvelu on ollut otsikoissa, kun Osuuspankki päätti kieltää palvelun käytön (alkuperäisessä tiedotteessa palvelu mainittiin jopa nimeltä, mutta tiedotetta on sittemmin muutettu), vaikka pankin suhtautuminen oli vielä hetkeä aiemmin varovaisen myönteinen. Sattumoisin pankki on ryhtynyt samaan aikaan markkinoimaan aktiivisemmin omaa Oma talous -palveluaan. Itseni kannalta tilanne on kiinnostava, sillä oma pankkini on juuri Osuuspankki.

    Kyse on todennäköisesti väärinkäsityksestä. Kuten Balancionin toimitusjohtaja Jussi Muurikainen Arctic Startup -blogin aiheeseen liittyvän postauksen kommenteissa kertoo, palvelu ei riko pankkien käyttöehtoja, joten kielto todennäköisesti perutaan piakkoin.

    Vielä tänään sain kuitenkin pankin edustajiltani omaan kyselyyni vastauksen, jossa sanotaan, että palvelu ottaa haltuunsa käyttäjän istunnon ja siten vaarantaa käyttäjän tietoturvan (mitä se todellisuudessa ei tee). Vastausta kysymykseeni siitä, mitä seurauksia minuun kohdistuu, jos jatkan palvelun käyttöä, minulle ei osattu vielä antaa, vaan asiaa luvattiin selvitellä edelleen. Vastausta odotellessani aion jatkaa palvelun käyttöä kuten ennenkin.

    Jos kieltoa jostain syystä ei pyörrettäisi, ryhtyisin itse vakavasti pelkästään tuon syyn takia miettimään pankin vaihtoa. Palvelu on yksinkertaisesti niin hyvä, että jos Osuuspankki sen kieltäisi ja muut sallisivat, niin se olisi riittävä syy pankin vaihtoon.

    Miksen sitten voi käyttää Osuuspankin omaa palvelua? Syitä on useita. En ole toistaiseksi tutustunut palveluun (se maksaa), mutta olen ymmärtänyt muiden käyttäjien kommenttien perusteella, että se on vaikeakäyttöisempi ja ominaisuuksiltaan huomattavasti heikompi kuin Balancion, eikä tarjoa esimerkiksi valmista listaa menokategorioista.