Tyhmempi luulisi että pankinkaltaisessa firmassa ei luoteta johonkin open source palikkaan jonka tehnyt kukalie ja ylläpitää toinen mikälie.

No taisin osottautua sitten tyhmäksi. Käyttäjien hälytyskellot pitäisi alkaa kilisemään ja media avaamaan miten rahojamme hallitaan.

tämä mahdollisesti liittyy asiaan:

https://github.com/nordnet/lettuce-out-of-order

Java heittänyt exceptionin eikä saatu kiinni eli huomattu ja user id palautui vääränä eikä ollut tarkistettu paluuarvoa. Tämä 2min analyysillä syyksi. Nämä saa mennä läpi jossain lelufirmassa ei putiikissa joka vastaa toisten omaisuudesta.

Kun loggaa sisään Nordnetiin niin käyttäjä A on linkattu tietokantoihin unkiikilla tunisteella sanotaan 1234. Tämä on liitetty jokaikiseen A dataan.
Nyt käyttäjä A halusi päästä sisään systeemiin ja niin pääsikin. Mutta käyttäjä A sai käyttöönsä käyttäjä B tunnisteen 2343 ja sillä fetchattiin tiedot. Tai sitten käyttäjä A korvaantui kokonaan käyttäjä Bksi mikä on jos vain voi vielä isompi kämmi. Jotenkin tällainen on logiikaltaan tämä kardinaalimoka.

Näiden tunareiden softanko sitten lataat puhelimeesi ja luotat että se on turvallinen ja toimii? Ja kännykkä kun varastetaan tai hukkuu niin taitaa sekin olla vain oman salasanan takana ettei joku ulkopuolinen pääse esiintymään sinuna kun se on sähköinen henkilötodistus. Ei tuo eroa mielestäni mitenkään kt/ss tunnistautumisesta, mutta jokaisella on mielipiteensä.

Jos jätetään tuo anteeksiantamaton moka pois niin ainakin minut Nordnet menetti asiakkaanaan kun kt/ss + vaikka sms tai email koodi ei ole mahdollinen.
 

RedRabbit wrote:

LappuLiisa wrote:

Tuntuu kyllä isolta kämmiltä jos sormenjälkitunnistus linkittyy väärään ID:hen. Perinteisessä salasanakirjautumisessa tuota ei periaatteessa voisi tapahtua. Ja kai sormenjäljellä kirjautumisessakin voidaan tarkistaa sormenjälki SEKÄ käyttäjätunnus? Nyt kävi niin että sormenjälki meni läpi mutta sait väärän käyttäjätilin.

Menee kyllä aika pahasti puurot ja vellit sekaisin kun aletaan sormenjälkitunnistusta syyttämään ja uskotaan kt/ss tunnistuksen olevan luotettavampi. Tapaus näyttää niin perinteiseltä atk-kämmiltä kuin olla vaan voi, samaan aikaan sisäänkirjautuvat käyttäjät ovat joidenkin tiettyen ehtojen täyttyessä saaneet toistensa sessiot. Vielä ei ole julkisuudessa ollut tietoa onko kyseessä ollut vain mobiiliappiksen ongelma vai onko selainkäyttiksellä ollut sama vika, mutta ainakin kaikki julkisuudessa näkyneet ruutukaappaukset ovat olleet mobiiliappiksesta.

Maallikkona luulisi, että käyttäjä on autentikoitu mobiililaitteessa ja se toiminut niinkuin pitää. Palauttanee jonkun responsen Nordnet järjestelmään ja kryptattuna mitälie, mutta tämä on toiminut niinkuin pitääkin.

Sitten Nordnet serveripuolen applari on varmaan kutsunut jotain palikkaa IMS tai mitälie systeemissä ja sen syvyyksistä on käyttäjä A autentikoitu ja identifioitu? ok, mutta koko prosessi onnistuneesti suoritettuna on palautunut IMS? systeemistä käyttäjä B ja tämä käyttäjän tietoihin sitten kaikki oikeudet. Nooh tämä nyt arvailua, tuskin saamme tietää julkisuuteen kuka teki mitä häh?

Niin tai näin, niin koko himmeli on implementoitu päin peetä jos käyttäjä A on halunnut sisään ja lopputulos on käyttäjä A saa eteensä käyttäjän B. Eikun bittisilppuriin koko softa ei tuolla tee mitään.

Joku tässä haisee kyllä pahasti. Testaamatta ei softaa laiteta tuotantoon ja jos laitetaan niin kassan  kautta kotiin.

Asiasta mitään tietämättä niin kai tuolla on jotain speksejä prosesseja jne varten kattaen kehityksen ja testauksen ym. 10 sek googlauksella vaikka joku tollanen: Mobile financial services — Customer identification guidelines ISO 5158:2023.

Mahtoiko väärälle tilille päätyneellä olla ollut mahdollisuus muuttaa sisäänkirjoitus tokeneita ja päästä jatkossa sisään ihan väärän käyttäjän muutetuilla tiedoilla suoraan kyseiselle tilille?

Liekkö ne kenen väärä tili on ollut loggauksen jälkeen vastassa ollut aina eri maasta. Ei tollasta mokaa muuten keksi kun että ovat mergenneet maat yhteen autentikoinnin osalta ja joku mikälie id osunut päällekkäin. Niin tai näin näihin softan vääntäjiin en ihan heti luottaisi jatkossa.

Sille softatalolle joka tällasen kikkareen on päästänyt releaseen kenkää tyyliin eilen. Käsittämätön moka. Autentikoitu käyttäjä liimattu väärään targettiin. Näissä luulis olevan speksit ja prosessit mitä noudatetaan tässä ympäristössä. Ei lentokoneeseenkaan juoste kusta softaa.

Jos tarkoituksena on tehdä 0-liikevaihtoa pari vuotta ja sinä aikana vaikka sisäistä R&D niin parempi lopettaa firma kokonaan ja elää säästöillä pari vuotta ja sitten uusi firma pystyyn kun alkaa olla valmista. Semmoinen 40k€/2 vuotta toimarin eläkettä voi olla ratkaiseva summa. Varmaan tehdyn liikeidean voi sitten myydä tuolle firmalle.

NVIDIA julkasee desktop AI koneen. Tehoja puolet metan 400 biljonasta.

https://nvidianews.nvidia.com/news/nvidia-puts-grace-blackwell-on-every-desk-and-at-every-ai-developers-fingertips

Korkeella on kurssi mutta oliskohan tossa jotain boostia lisää.

Pakko kyllä sanoa, että nämä liikevaihdon mukaan TEL maksu-uhat laittaa kyllä miettimään kannattaako lähteä pelleilemään ainakaan olemassa olevaan firmaan noita kaupankäyntejä. Tietty jos tuo 4k kilahtaa joka toinen vuosi lisää niin se nyt ei vielä katastrofi ole.

Palkansaaja saa kyllä olla tarkkana, jos käy firmalla ahkerasti kauppaa. Työttömyys kun iskee, niin saatetaan katsoa yrittäjäksi. Ainakin lappuja saanee huonossa tapauksessa toimitella.