Nätbanksläckan

Avanza läckte kunduppgifter till Facebook i över ett år

1:53 min
  • Ekot avslöjar nya problem med hur nätbanken Avanza hanterar personuppgifter.

  • Under tisdagen, efter intervjuer med Ekot, meddelade banken att de anmält sig själva till Integritetsskyddsmyndigheten.
  • Avanza har över en miljon kunder i Sverige och vår granskning visar att uppgifter läckt till Facebook, bland annat personnummer, mejladresser och detaljer ur kunders låneansökningar.

Kunder hos Avanza som har ansökt om lån har fått sina telefonnummer, mejladresser och information om befintliga lån skickade till det sociala nätverket.

Läckan till Facebook, som framkommit efter Ekots granskning av sajtens nätverkslogg, har enligt banken pågått i ett och ett halvt år.

Den som under den tiden har ansökt om att bli kund i Avanza har också fått sitt personnummer skickat till det amerikanska företaget.

Strax efter att Ekot kontaktar Avanza stänger de av funktionen, men de förnekar inledningsvis att exempelvis personnummer gått iväg.

Först vid uppföljande intervjuer, efter att vi i detalj har förklarat hur informationen lämnat webbplatsen, kan banken bekräfta att det skett.

– Att den här var påslagen var ett handhavandefel som har gjorts någon gång i tiden, vilket vi är väldigt glada att ni har uppmärksammat oss på, säger Rikard Josefson som är vd på Avanza.

Sedan banken slog på Facebook-funktionen i slutet på 2019 har Avanzas användarbas ökat med runt en halv miljon kunder.

Enligt Rikard Josefson har ett stort antal av dessa fått sina personuppgifter skickade till det sociala nätverket.

När Facebook tar emot uppgifter som de från Avanza paras uppgifterna ihop med Facebooks befintliga användare. Sedan raderas uppgifterna, enligt teknikföretaget.

Uppgifterna skickas inte till Facebook i klartext utan hashas. Lite förenklat innebär det att Facebook måste ha uppgifterna, eller ta fram samma uppgifter, för att kunna se det som skickats från Avanza i klartext.

Det utgör ett skydd, enligt Rikard Josefson.

– Facebook har inte tagit del av den exakta datan. Och återigen, vi har slagit av funktionen.

Enligt Integritetsskyddmyndigheten utgör även hashad information personuppgifter. Beroende på vilken information som hashats kan den vara lättare eller svårare att göra om till klartext.

Det tog en sakkunnig som Ekot varit i kontakt med 16 sekunder att få ut personnumret ur en hash som Avanza skickat till Facebook.

– Det du säger nu är ny information, och det kan jag inte svara på för jag måste undersöka det, säger Rikard Josefson.

Några timmar efter intervjun meddelade Avanza att de anmält sig själva till Integritetsskyddsmyndigheten.