Digitala brevlådan E-boks åtgärdar slarv med säkra anslutningar

Idag finns fyra leverantörer av digitala brevlådor: E-boks, Digimail, Kivra och Min myndighetspost. Via dessa tjänster kan användare ta emot meddelanden från företag och myndigheter på ett säkert vis. Till skillnad från i e-postsammanhang kan inte avsändaren av meddelanden till digitala brevlådor förfalskas. För att logga in krävs också någon form av e-legitimation, till exempel Mobilt Bank-ID. Det reducerar risken för att någon obehörig får åtkomst.

E-boks är enligt sin egen webbplats störst i Norden på digitala brevlådstjänster. De har över tre miljoner svenska användare. Jag (Karl Emil Nikka) blev därför uppriktigt förvånad när jag i april upptäckte omfattande slarv med säkra anslutningar till deras webbplatser. Flera av deras nordiska webbplatser hade certifikat som var utfärdade för fel domäner. Deras huvudsakliga webbplats var åtkomlig över en osäker HTTP-anslutning och inloggningssidan, där inloggningsrutan för Mobilt Bank-ID var inbäddad, kunde med lite trixande göras åtkomlig över en osäker anslutning.

Chrome anmärker på att anslutningen till e-boks.se inte är privat.
Certifikatet för e-boks.se var utfärdat för fel domän.

Jag informerade E-boks om problemen den nionde april och gav dem 90 dagar att åtgärda bristerna. E-boks lät meddela att de ”har säkerhet som högsta prioritet” och att de skulle åtgärda bristerna så fort som möjligt. Jag informerade även Finansiell ID-teknik (företaget som driver Bank-ID) som bekräftade att en implementation lik den hos E-boks inte uppfyller Bank-ID:s säkerhetskrav.

Kolla alltid efter hänglåset

E-boks slarv med säkra anslutningar innebär inte att läsare behöver oroa sig för att angripare har kommit åt känslig information. Händelsen är främst en påminnelse om att alltid säkerställa att det finns ett hänglås i adressfältet vid inloggning. Oavsett om det handlar om lösenordsinloggning eller Bank-ID-inloggning ska du alltid kontrollera att adressen i adressfältet är korrekt och att det finns ett låst hänglås intill. Om det saknas ett hänglås eller står ”inte säker” ska du aldrig logga in under några som helst omständigheter.

Bank-ID-formuläret är inbäddat på en webbplats som laddas över en osäker anslutning.
Logga aldrig in ifall det saknas ett låst hänglås i adressfältet.

Risken som E-boks slarv kan ha orsakat är ifall någon har varit utsatt för riktade attacker och struntat i att hänglåset saknats. Då kan en angripare med kontroll över nätverket ha manipulerat informationen som visats på start- och inloggningssidan (på samma sätt som flygbolag kan ändra vad som visas på webbsidor som laddas över osäkra anslutningar på flygplans-wifi). Angriparen skulle exempelvis kunnat trigga en Bank-ID-inloggning till någon annan tjänst och lurat besökaren att godkänna den i stället för inloggningen till E-boks.

Tips! Använd hellre Mobilt Bank-ID än bankdosa. Med Mobilt Bank-ID ser du både var du loggar in och vad du godkänner. Informationen som visas i din mobils Bank-ID-app kan ingen angripare förfalska, inte ens om du råkar loggar in på en webbplats över en osäker anslutning.  

90 dagar räckte inte

Det anmärkningsvärda i sammanhanget är att slarv av denna karaktär förekommer på en så säkerhetskritisk tjänst som en digital brevlåda. Det är också beklagligt att det tog så lång tid för E-boks att åtgärda bristerna. Ett företag som, enligt egen utsago, har säkerhet som högsta prioritet borde ha åtgärdat dem betydligt snabbare. Denna artikel skulle egentligen publicerats förra veckan (efter 90-dagarstidsfristen) men då kvarstod fortfarande en brist. Vi kom överens med E-boks om att skjuta upp publiceringen till den här veckan för att de skulle hinna åtgärda även den.

E-boks förklarade att ett av problemen orsakades av en bugg hos deras underleverantör. Ett annat problem hade de redan löst i sin testmiljö men de ville inte fixa det i sin produktionsmiljö under sin ”peak-period”.

Alla brevlådstjänster saknar HSTS

Vi har även undersökt ifall någon av de tre konkurrenterna har samma brister, vilket lyckligtvis inte är fallet. Samtliga fyra digitala brevlådor saknar dock så kallat HSTS-stöd, vilket förhindrar degraderingsattacker där angripare försöker få besökare att ansluta över osäkra anslutningar trots att webbplatsen enbart accepterar säkra sådana. E-boks meddelar att de planerar att aktivera HSTS.

Använd ändå en digital brevlåda

Slarv som det hos E-boks förändrar inte Nikka Systems rekommendation av digitala brevlådor. En sådan är oavsett vad det säkraste sättet att kommunicera med anslutna företag och myndigheter. Vanlig e-post och traditionella pappersbrev är betydligt osäkrare. Vi rekommenderar därför alla läsare att skaffa en kostnadsfri digital brevlåda.

Denna artikel är publicerad under Creative Commons CC BY 4.0-licens (gäller ej tillhörande bilder där annan fotograf är angiven). Det innebär att du får kopiera, bearbeta och vidaredistribuera materialet.