Allvarlig säkerhetsbrist hos Svenska Spel

[Ola Brandborn]

Svenska Spel har bytt betalningsleverantör. Numera behöver man inte ange varken något lösenord kopplat till sitt bankkort/kreditkort, använda bankdosa, eller ens den tresiffriga CVC-koden som är på kortet. Allt man behöver ange är lösenordet till svenskaspel.se. Kretitkortsnumret är sparat sedan gammalt.

 

Detta innebär att någon som hackar min dator och kommer över mitt lösenord till Svenskaspel.se kan tömma hela mitt bankkonto. Dessa pengar kan denne sedan chipdumpa bort på pokern till någon annan. Det är en sak att jag riskerar de pengar jag har på spelkortet om mitt lösenord till Svenska Spel kommer på vift, det är mitt ansvar och min skyldighet att hålla hemligt. Men det är inte rimligt att hela mitt banksaldo riskerar att bli chipdumpat för att någon kommer åt ett från banken utomstående lösenord.

 

Säkerhetsfrågan "ange ditt lösenord till Svenska Spel" är noll värd då inkräktaren redan har kommit över det när han hackade min dator.

 

Sätter jag in pengar på Unibet så måste jag ange CVC-koden som är kopplat till bankkortet. Köper jag en flygresa på SAS så måste jag ange både CVC-koden och en ruta ploppar upp från Secured by Visa där jag måste ange mitt lösenord till Visa. Men på Svenska SPel saknas en tvåstegsverifiering helt och hållet.

 

Ännu mer upprörande är då man ringer till Svenska Spel och ber dom plocka bort informationen om bankkontonumret. Då svarar supporten att "det kan man inte".

 

Detta är en enorm säkerhetsbrist. Det är också en stor spelmissbruksfråga. En spelmissbrukare behöver ha ett antal hinder på sin väg att sätta in nya pengar. Att göra insättningen så snabb som möjligt och bara ange ett lösenord ger ingen cool-off för denne, där är det bra med både två och tre hinder på vägen att sätta in nya pengar.

 

Slutligen, det mest upprörande är att detta sker speciellt på Svenska Spel, som bygger hela sin existens på att vara det Trygga, Säkra, Spelansvarsfulla alternativet.

 

Värt att notera också är att informationen som står på svenska spels hemsida under Kundservice är helt felaktig, och gäller den gamla betalningslösningen. jag citerar:

https://svenskaspel.se/?pageid=/support/transaktion/kort

 

Överföring till spelkontot via bankkort

Godkända bankkort är: Visa eller MasterCard/Eurocard med säkerhetsnummer (CV2-kod). Korten måste vara utgivna av en svensk bank.

 

Vi tillämpar bankernas säkerhetslösning för kortbetalningar. Det innebär att du som överför pengar via Visa eller MasterCard/Eurocard vid varje överföring måste skriva in kortets säkerhetsnummer (CV2-kod). Det är de tre sista siffrorna vid remsan där du skriver ditt namn på baksidan av kortet.

 

Har du frågor kring CV-koden, vänligen kontakta din bank.

 

Gör så här:

- Logga in på svenskaspel.se

- Klicka på pilen bredvid ditt saldo upp till höger så fälls en meny ned. Du kan också gå via Mina sidor.

- Klicka på rubriken "Överföringar" och därefter "Överföring till spelkonto".

- Har du inget bankkort regisitrerat sedan tidigare gör du det nu. Skriv in ditt bankkortsnummer samt giltighetstid.

- Skriv in ditt lösenord (samma som du loggar in med).

- Ange det belopp du vill överföra (lägsta belopp är 25 kr).

- Klicka på "Överför".

 

Vi tillämpar de senaste säkerhetslösningarna inom branschen, vilket kan innebära ett extra steg för dig som användare. Nordea-kunder måste t ex ha säkerhetsdosan till hands vid överföring till svenskaspel.se. Har du aktiverat "Verified by Visa" eller "MasterCard SecureCode" måste du ange ytterligare ett lösenord eller kod för att överföringen ska gå igenom. Vi hoppas dock på din förståelse, då det endast är för din egen trygghets skull.

 

Det är så säkerheten ska gå till, inte så som Svenska Spels nuvarande lösning är.

[Namehere]

 

Ännu mer upprörande är då man ringer till Svenska Spel och ber dom plocka bort informationen om bankkontonumret. Då svarar supporten att "det kan man inte".

 

Är du 100% på detta? Detta är ju heeelt sjukt och osäkert.

[Ola Brandborn]

Är du 100% på detta? Detta är ju heeelt sjukt och osäkert.

Jag gjorde det precis och det var det svaret jag fick. Om sedan svaret är sant eller ej, det vet jag inte. Jag kan dock inte hitta något ställe där jag kan ta bort informationen.

[Crappy]

Det där är så sjukt att det måste vara en miss?

Att de har dålig säkerhet, eller helt enkelt låga krav på styrkan på lösenorden är bara det under all kritik, från en sait som precis som du säger

bygger hela sin existens på att vara det Trygga, Säkra, Spelansvarsfulla alternativet.

[Lingonklonk]

Jag minns att för 4-5 år sedan kunde jag sätta in nonstop utan den 3 siffriga koden eller något annat, när kortet var reggat satte jag in oreglerat.

[juzaa]

Tack för varningen!

Framförde klagomål till kundservicen. Fick till svar att det var lugnt för att det endast gick att ta ut pengarna till mitt reggade bankkonto….

Seriöst, de har ingen koll på vad de håller på med.

[Jammare]

Ett tips är ju att alltid köra Keepass med starkt huvud-pw och sen generera lösen till alla sidor. Inte 100% säkert men bättre än vad den genomsnittliga lata pokerspelaren har.

[Ola Brandborn]

En vän, som önskar vara anonym, mailade in och klagade över risken med chipdumping. SvS svar visar att de har noll koll:

 

Hej

 

Vi förstår hur du menar och har tagit upp detta med ansvariga. Men samtidigt, om någon lyckas få tag i din inloggning så kan personen ju endast föra över pengar till ditt eget spelkonto vilket innebär att vinner personen kan man endast föra över det till ditt bankkonto då det alltid kontrolleras att det är ditt personliga. Så egentligen är det bara dumt att logga in på någon annans konto och föra över pengar. Samtidigt förstår jag om du känner en oro. Däremot borde man kunna få ta bort sitt bankkort om man vill detta och vi kollar upp den saken.

 

 

Med vänlig hälsning

 

Maria

Kundservice

Svenska Spel

De inser inte att om någon spelar bort mina hyrespengar så lär det bli mitt problem att betala hyran fram tills dess att SvS utrett eventuella chipdumpingar, och kanske kanske kanske kommer fram till att chipdumping skett och kanske kan rädda dessa pengar och återföra dom till mig.

 

De inser inte heller att om någon är ute efter att jävlas med mig, kan ta alla mina pengar jag har på kortet och spela bort dom på lotto. Då är det jag som blir drabbad.

 

Slutligen inser de inte att de själva står med rumpan bar: Just nu är det guldläge för alla speltorskar och bedragare att åka till annan stad eller land, logga in på SsS, föra över så mycket pengar de bara kan från bankkontot och dundra på stryk och måltipset. Vinner de så är allt väl, förlorar de så hävdar man att man fått sitt lösenord hackat. Spelarens ansvar är att hålla sitt lösenord till SvS hemligt, ananrs kan man bli av med innesående medel på SvS. Men det är orimligt att begära att han ska stå ansvarig flr hela sin förmögenhet han råkar ha på ett bankkonto för att en tredjepartssajt blir hackad. För att få sitt lösenord hackat till Svenska Spel kan aldrig ur bankens synvinkel vara tillräcklig säkerhet för att komma åt pengarna på banken. Det kan bli fina gråtartiklar i Aftonbladet av det här.

[ibmachine]

Sjukt.

Bifogar länk till denna tråden och mailar svsp och de grävande journalistgiganterna på minimedia/aftonbladet. Hoppas de e ok.

Det kan ju finnas ett nyhetsvärde i att SVSP fuckar upp.

[Lingonklonk]

Poängen med min kommentar är att det har varit så väldigt länge, säkert över 5år. Vet att det var så på ATG ett tag med.

[Thomas73]

Det har inte vart såhär länge.

Har inte gjort någon insättning på någon månad men gick in och kikade hur det ser ut nu och det är helt annorlunda.

 

Tidigare var man tvungen ange CVC + att rutan till secure bank (swedbank) poppade upp där jag tvingas skriva in mitt lösen. Detta till mastercard iaf.

[Sansrom]

Så kortnumret lagras alltså automatiskt? Förstår jag det rätt att jag som inte har satt in pengar mer än någon enstaka gång för flera år sedan kan drabbas av detta, förutsatt att kortet inte gått ut förstås.

[Lingonklonk]

Det har inte vart såhär länge.

Har inte gjort någon insättning på någon månad men gick in och kikade hur det ser ut nu och det är helt annorlunda.

 

Tidigare var man tvungen ange CVC + att rutan till secure bank (swedbank) poppade upp där jag tvingas skriva in mitt lösen. Detta till mastercard iaf.

 

 

Så var det för mig åtminstone, har inte den secure grejen då hade jag nordea.

[WannaSeeMyPig]

Jag minns att för 4-5 år sedan kunde jag sätta in nonstop utan den 3 siffriga koden eller något annat, när kortet var reggat satte jag in oreglerat.

 

Poängen med min kommentar är att det har varit så väldigt länge, säkert över 5år. Vet att det var så på ATG ett tag med.

 

Edit: Verkar skilja sig mellan banker. SVS är iaf enda stället jag numera inte ens behöver ange cvc-koden och det känns som TS rätt osäkert.

[freddex1989]

Jag gjorde en insättning för två veckor sedan och då var det så här. Ingen kontroll alls och mitt kortnummer fanns sparat. (nordea)

 

En idé är att använda e-kort som Swedbank erbjuder.

https://www.swedbank.se/privat/kort-och-betalningar/kort/logga-in-e-kort/index.htm?ssSourceSiteId=8314se

[Nebo]

på ATG sparas kortet också och man behöver inte skriva någon cvc

[tmir]

Poängen med min kommentar är att det har varit så väldigt länge, säkert över 5år. Vet att det var så på ATG ett tag med.

För 5 år sedan så var det såhär, sedan bytte de leverantör/införde Verifeid By Visa osv och allt blev säkert. Nu har de bytt leverantör, det står till och med på insättningssidan, och gått tillbaks till det gamla osäkra systemet

 

Nytt utseende på överföringssidan

Vi har nyligen gjort ändringar på den här sidan i samband med byte av leverantör av våra betalningstjänster. Det kan i vissa fall betyda att du som kund måste registrera ditt kort på nytt när du överför pengar.

Har du frågor, kontakta vår kundservice 0770-11 11 11, kundservice@svenskaspel.se

[ibmachine]

Engagerat och välformulerat svar ! :

 

 

Från: ibmachine

Skickat: den 21 november 2015 11:08:44

Till: KS-overforingar@svenskaspel.se < KS-overforingar@svenskaspel.se >;

Ämne: Överföring

 

Extrem säkerhetslucka! Om du som läser detta inte förstår, be han bredvid dig förklara.

 

http://pokerforum.nu/forum/ekonomi-skatt-och-juridik/71502-allvarlig-kerhetsbrist-hos-svenska-spel.html#post1846044

 

Hej!

 

Nej, det är ingen "Extrem säkerhetslucka". Vi tar säkerheten på högst allvar och har i och med den nya säkerhetslösningen även gjort det enklare får våra kunder att överföra pengar.

 

Med vänlig hälsning

 

Joakim

Kundservice

Svenska Spel

[coconutbobby]

Rimligt

[Vladi]

Skickade ett mail där jag lite snällt frågade om dom var efterblivna, fick följande svar:

 

 

 

Tack för dina synpunkter, härligt engagemang!

 

Ja, det kan vara en lite större risk än tidigare, men vi tar till oss av synpunkterna och ett återinförande kan mycket väl komma under nästa år.

 

Lite argument för beslutet kan du såklart få, utan att reducera dina synpunkter;

 

Det är fortfarande så att kortet måste registreras via full 3D-secure för att fastna på vår sida. Kortet går inte att använda på något annat konto än där det har registrerats.

 

Överföringen är i de flesta fall smidigare och går fortare, någon bank undantaget. På samma sätt som det har fungerat på mobilwebben i flera år, utan 3D secure (fortfarande tvunget att registrera kortet med 3D-secure).

 

Är man osäker så kan man använda internetbank i den mån man har någon av de fyra största bankerna i Sverige.

 

Det kommer komma fler alternativ för insättning nästa år, Swisch som exempel.

 

Det kommer snart att komma tillbaka en knapp där man kan ta bort kortet från sidan, den är under utveckling.

 

Med vänlig hälsning

 

Fetmarkerade tyckte jag var roligt.

Som vanligt verkar folk få olika svar beroende på vilken hjärnskadad praktikant som jobbar för dagen.

[tmir]

Hatten skriver på sin blogg att ATG har samma problem

ATG säkerhetsbrist vid transaktionshanterande katastrof - Gamblers vardag

 

Och han har en bra poäng varför "en spelare" (dvs en tjuv) skulle vilja spela på förlorande kombinationer/hästar - för att höja oddset på de rimliga alternativen.

 

Samma problem finns i SvS streckspel. Dundra in stulna pengar på "omöjliga" kombinationer på matchen och du får överodds på de rimliga kombinationerna, exempelvis.

[Sansrom]

Detta är det mest efterblivna jag läst på länge. Det tyder på helt fantastisk inkompetens inom ett område jag förväntar mig att till och med Svenska Spel ska ha koll på.

 

Det är en sak att de fortfarande dras med en klient som andas 1992 och som har fler buggar än features, men det kan kanske delvis skyllas på ett felbeslut för länge sen och att det kan vara svårt att hitta personal som har tillräcklig koll på poker och teknik.

 

Men detta (om jag förstått det hela rätt) är helt centralt för spelarsäkerheten och kräver dessutom ingen raketforskare för att hantera. Har i och med detta exakt noll förtroende för att de förstår sig på chipdumpning och annat fusk. Välkommen till http://www.p0kernp0rnz.info!

[Dinn3r42]

Jäklar vad ni överdriver! Ja, det är riskfyllt att koppla ett betalkort till sitt spelkonto. Man kan dock skaffa både insättningsgräns och spelgräns om man vill. Dessutom kan man strunta i betalkort och istället använda andra, mer säkra, insättningsmetoder.

[Metaddict]

Jäklar vad ni överdriver!

 

Nej.

[tmir]

Jäklar vad ni överdriver! Ja, det är riskfyllt att koppla ett betalkort till sitt spelkonto. Man kan dock skaffa både insättningsgräns och spelgräns om man vill. Dessutom kan man strunta i betalkort och istället använda andra, mer säkra, insättningsmetoder.

Nej, det är inte riskfyllt att koppla sitt kreditkort till varken Apple, SAS, Unibet, Betsson, eller Über, vilket är vad jag har kopplat mitt kort till. Men det är livsfarligt att koppla kortet till de svenska monopolföretagen!? Är det rimligt?