Bankers webbsajter är problematiska (20230825)

Om du inte är intresserad av GDPR eller ePrivacy-direktivet så kan du bläddra vidare 😊

En relativt okomplicerad granskning av banker och finansiella institut med verksamhet i Sverige och deras hemsidor ger en ganska genomgående bild av informationsläckage med få undantag. Granskningen är gjord 2023-08-25.

Det finns förmodligen ett stort antal webbsajter i denna kategori som jag missat. Tips emottages tacksamt till hello@xray.joho.se

Det har skett en förbättring till det bättre sedan jag tittade på detta tidigare under 2023, men det finns mycket arbete kvar att göra.

Många av dessa sajter har även ”chat-bottar” som är problematiska i många fall.

Det är märkligt att en sektor med så mycket pengar som bankerna har, inte kan kosta på sig att vara på rätt sida, oavsett eventuella ”gråzoner” och adekvansbeslut, inte minst för kundernas skull.

En del av sajterna läcker information även efter att du loggat in.

Det jag tittar på är främst spårning (vilket kan göras på många sätt idag), var och hur sajter driftas samt hämtning av externa resurser som CSS/JS (vilket också kan leda till spårning).

En del webbutvecklare och personuppgiftsansvariga lutar sig idag tillbaka och hänvisar till ”det nya adekvansbeslutet”, som man då anser ger grönt ljus att använda sig av den här typen av tjänster och/eller upplägg. Jag anser att det bara är en tidsfråga innan ”tjänster i gråzonen” återigen blir problematiska.

Namn Resultat

Danske Bank

Använder eGain, Google och Qualtrics.

SBAB

Använder Boost AI.

Lendo

Använder TrustPilot, Google, Sentry, Optimizely, Contentful, Hotjar och CDN-resurser.

Skandia

Använder AB Tasty, New Relic och Vimeo.

Hypoteket

Använder Amazon, Google, TrustPilot och myNewsDesk (som använder Cloudflare).

Handelsbanken

Använder Google och Adobe.

Swedbank

Använder Google och Adobe.

Avanza

Använder Google.

Sambla och Resurs Bank

Använder sig av så många ”tredjeland” resurser med informationsläckage som följd att de med all tydlighet visar hur en sajt inte skall byggas.

SEB

Använder ”Humany” som sin ”Customer Support Agent”. Humany driftas i Microsofts molntjänster (Azure).

Nordnet

Använder CDN-resursen från amerikanska leverantörer, Microsoft samt Humany på sin FAQ-sida. Humany driftas i Microsofts molntjänster (Azure).

Länsförsäkringar

Använder CDN-resurser från amerikanska leverantörer, Cloudflare och CookieLaw.

Nordea

Använder Digital Control Room, CDN-resurser från amerikanska leverantörer och Microsoft.

Collector

Använder CookiePro, FrontAI och Microsoft. Har även betaltjänsten Walley som har ungefär samma problematik (+Google).

Klarna

Använder sig av Amazons infrastruktur, laddar resurser från AB Tasty, CookieLaw/OneTrust, samt Google.

ICA Banken

Använder sig av Cloudinary, Microsoft, samt Google.

IKANO Bank

Använder sig av CookieLaw/OneTrust och Google.