Swedbank kallar e-kort för ett säkert sätt att handla på nätet. Kunden kan koppla e-kortfunktionen till sitt befintliga bankkort och sedan använda en webbaserad e-kortstjänst för att logga in och handla med e-kort.

För att skapa e-kort krävs normalt tillgång till både personnummer, lösenord och antingen Bankid eller inloggningsdosa. Med andra ord en ganska standardiserad tvåstegsautentisering.

Christoffer Sterner, som studerar datavetenskap på Umeå universitet, upptäckte hur en sårbarhet i inloggningsfunktionen gör att inloggningskravet nedgraderas till att godta enbart lösenord, förutsatt att besökaren matar in fel värde i två parametrar (vi har av uppenbara skäl valt att inte visa exakt hur det går till).

– Jag kontaktade Swedbank angående det här, men de sa att det inte var en hög risk. Det det var inte högprioriterat för dem, och därför skulle det ta tid att fixa, berättar, Christoffer Sterner.

– Men jag anser att det är ett väldigt stort problem att man med endast ett lösenord kan logga in och skapa e-kort som man direkt kan handla bitcoins för tusentals kronor med.

Han berättar att de han pratat med på Swedbank sagt att det inte är meningen att systemet ska nedgradera kravet, eftersom användaren ska vara tvungen att använda sig av bankdosa eller Bankid. Att det nu uppenbarligen inte fungerar som det ska kan få stora konsekvenser för den som drabbas av att angripare skapar e-kort i deras namn, med hjälp av stulna lösenord. Skulle inloggningen för e-kortfunktionen fungera som det är tänkt skulle det vara oerhört svårt att skapa kort utan kontoägarens medgivande och vetskap. Den översta gränsen för summor på e-kort är 50 000 kronor.

– Jag skulle säga att problemet är det räcker med att en användare fått en vanlig keylogger installerad i sin dator, eller att angriparen är inne på användarens nätverk så kan de enkelt handla för tusentals kronor på nätet genom att bara skapa ett e-kort med ett stulet lösenord, säger Christoffer Sterner.

Han pekar på att det därmed också kan räcka med att du går på en attack via nätfiske där ditt lösenord till någon annan tjänst blir stulen.

– Det är ju även ett stort problem om användaren har använt samma lösenord på andra sidor för då kan hackern använda det också på e-korten.

TechWorld söker ansvariga på Swedbank för en kommentar och uppdaterar så fort vi får det.