BankID vad levereras tillbaka till webbsidan efter man signerat?

Permalänk
Medlem

BankID vad levereras tillbaka till webbsidan efter man signerat?

Hej

Jag fick idag på mejlen ett dokument som skulle signeras, men det var inte mitt dokument, inte heller mitt namn eller personnummer stod i dokumentet.
Företaget som skickat det är inte särskilt bra på något och har helt enkelt skickat det till fel person.
Jag testade lite vad jag hade möjlighet att göra och när jag valde att signera så blir jag tillfrågad om mitt personnummer, när jag fyllt i det så fick jag på min mobil att signera med fingeravtryck.
Bevisligen så fanns det ingen spärr mellan att dokumentet var ställt till ett annat personnummer eftersom jag ens fick frågan om personnummer (borde inte behövas, kanske) och inte heller kontrollerades det innan jag gavs möjligheten att signera i någon annans namn med mitt personnummer.

Men om jag nu skulle signera det här (inte för att jag ska), men vad får websidan veta då? Kommer det i APIt att <personnummer> godkänt, eller är det bara "ok"?
Min fråga är egentligen, hur stor läcka var det här? Hade jag kunnat "komma undan" med det här? Igen, jag har ingen anledning att göra det, det är en parkeringsplats det handlar om.

Permalänk
Medlem
Skrivet av Agonotheta:

Hej

Jag fick idag på mejlen ett dokument som skulle signeras, men det var inte mitt dokument, inte heller mitt namn eller personnummer stod i dokumentet.
Företaget som skickat det är inte särskilt bra på något och har helt enkelt skickat det till fel person.
Jag testade lite vad jag hade möjlighet att göra och när jag valde att signera så blir jag tillfrågad om mitt personnummer, när jag fyllt i det så fick jag på min mobil att signera med fingeravtryck.
Bevisligen så fanns det ingen spärr mellan att dokumentet var ställt till ett annat personnummer eftersom jag ens fick frågan om personnummer (borde inte behövas, kanske) och inte heller kontrollerades det innan jag gavs möjligheten att signera i någon annans namn med mitt personnummer.

Men om jag nu skulle signera det här (inte för att jag ska), men vad får websidan veta då? Kommer det i APIt att <personnummer> godkänt, eller är det bara "ok"?
Min fråga är egentligen, hur stor läcka var det här? Hade jag kunnat "komma undan" med det här? Igen, jag har ingen anledning att göra det, det är en parkeringsplats det handlar om.

Signaturen som sådan visar ju vem som har signerat, iaf. Det är ju hela syftet.

Men jag vet inte hur du menar riktigt, rimligen så framgår det väl i avtalstexten vem avtalet gäller? Om då någon annan signerat så blir det ju bara meningslöst?

Sedan pratar du om "läcka" och i den bemärkelsen så är väl den faktiska läckan att de lämnat ut detta avtal till fel person, så det är väl uppgifterna i avtalet som möjligen är känsliga i någon bemärkelse.

Jag vet inte riktigt vad du menar att du hade "kommit undan med"? Menar du att du hade fått parkeringsplatsen för att du skrev under? Men jag antar det står i avtalstexten vem avtalet gäller?

Permalänk
Medlem
Citat:

Signaturen som sådan visar ju vem som har signerat, iaf. Det är ju hela syftet.

Är detta en gissning eller vet du att APIt levererar den här informationen?
Det kan lika gärna bli bara ett "ok" eftersom man inte vill skicka känslig information, därav frågan.

Eftersom det handlar om en digital signatur så skulle jag inte bli förvånad om det står den andra personens namn.
Rutan i dokumentet är "förifyllt" med "<hans namn> digital signatur".

Kommit undan med, rent ut sagt, urkundsförfalskning.
Hade dokumentet blivit giltigt i hans namn när jag signerat det.

Permalänk
Medlem

BankID sparar signatur informationen, personnummer framkommer av vem som initierade signering.

Permalänk
Hedersmedlem
Skrivet av Agonotheta:

Hej

Jag fick idag på mejlen ett dokument som skulle signeras, men det var inte mitt dokument, inte heller mitt namn eller personnummer stod i dokumentet.
Företaget som skickat det är inte särskilt bra på något och har helt enkelt skickat det till fel person.
Jag testade lite vad jag hade möjlighet att göra och när jag valde att signera så blir jag tillfrågad om mitt personnummer, när jag fyllt i det så fick jag på min mobil att signera med fingeravtryck.
Bevisligen så fanns det ingen spärr mellan att dokumentet var ställt till ett annat personnummer eftersom jag ens fick frågan om personnummer (borde inte behövas, kanske) och inte heller kontrollerades det innan jag gavs möjligheten att signera i någon annans namn med mitt personnummer.

Men om jag nu skulle signera det här (inte för att jag ska), men vad får websidan veta då? Kommer det i APIt att <personnummer> godkänt, eller är det bara "ok"?
Min fråga är egentligen, hur stor läcka var det här? Hade jag kunnat "komma undan" med det här? Igen, jag har ingen anledning att göra det, det är en parkeringsplats det handlar om.

BankID levererar en digital signatur, av vilken det framgår vem som signerat dokumentet med bl.a. namn och personnummer.

Vad webappen i fråga som du beskriver sedan gör med den informationen är i slutändan upp till webbappen. Troligtvis kommer signaturen att sparas, och det kommer vara ute till den som skrivit avtalet att kontrollera att det är rätt tilltänkt person som skrivit på. Möjligen kan personnumret för den tilltänkta signeraren ha sparats i förväg, och signaturen kan då automatiskt att flaggas som ogiltig.

Permalänk
Medlem
Skrivet av Agonotheta:

Är detta en gissning eller vet du att APIt levererar den här informationen?
Det kan lika gärna bli bara ett "ok" eftersom man inte vill skicka känslig information, därav frågan.

Eftersom det handlar om en digital signatur så skulle jag inte bli förvånad om det står den andra personens namn.
Rutan i dokumentet är "förifyllt" med "<hans namn> digital signatur".

Kommit undan med, rent ut sagt, urkundsförfalskning.
Hade dokumentet blivit giltigt i hans namn när jag signerat det.

https://www.bankid.com/utvecklare/guider/teknisk-integrations...
här kan du se vad svaret innehåller.

Men jag tycker den mest förvirrande punkten är att du förutsätter att du hade "kommit undan" med något brott när frågan snarast leder till i riktningen om du eventuellt hade begått något brott. Det beror ju helt på vad som händer efteråt om du kommer undan med ett eventuellt brott?

Skrivet av pv2b:

BankID levererar en digital signatur, av vilken det framgår vem som signerat dokumentet med bl.a. namn och personnummer.

Vad webappen i fråga som du beskriver sedan gör med den informationen är i slutändan upp till webbappen. Troligtvis kommer signaturen att sparas, och det kommer vara ute till den som skrivit avtalet att kontrollera att det är rätt tilltänkt person som skrivit på. Möjligen kan personnumret för den tilltänkta signeraren ha sparats i förväg, och signaturen kan då automatiskt att flaggas som ogiltig.

Ja, precis. Signaturen som sådan skulle ju otvetydigt skapas i TS namn, sedan om ingen kollar på det så kanske deras system gör något korkat, vem vet.

Men i det läget att någon tittar på signaturen så blir det ju uppenbart att vem som skrivit under, och att det inte är samma person som avtalet gäller.

Permalänk
Hedersmedlem
Skrivet av evil penguin:

Ja, precis. Signaturen som sådan skulle ju otvetydigt skapas i TS namn, sedan om ingen kollar på det så kanske deras system gör något korkat, vem vet.

Men i det läget att någon tittar på signaturen så blir det ju uppenbart att vem som skrivit under, och att det inte är samma person som avtalet gäller.

Precis, det kan ju till och med vara så att signaturen registreras på dokumentet, fast med fel namn, och sedan märker inte beställaren av dokumentet att fel person signerat, utan tjänsten levereras i alla fall på grund av ett missförstånd.

Finns många sätt en sån här grej kan gå fel på, om någon någonstans slarvar, men det är i inget av de fallen bankID:s fel

Permalänk
Medlem

Vänner,

Bankid lär logga ganska mycket. Om nu inte sajten man skriver under hos gör det, så lär det finnas hos Bankid. Bara för polisen att begära ut materialet.

Permalänk
Medlem

BankId fungerar ju lite olika beroende på hur man gör med inloggning, är det länkat direkt från en sida eller app till BankId-appen så behöver man ju inte fylla i personnummer för det kommer liksom med i svaret från bankId, om det då inte matchar dokumentet som ska signeras, eller typ att det inte finns någon användare med det personnumret vid en inloggning, borde ju sidan eller appen returnera 403, alltså forbidden. Användaren är känd men den har inte rätt till att komma åt resursen den vill åt. Alternativt 404, not found, beroende på hur de lagt upp sin tjänst förstås.

Däremot om du skriver in ditt personnummer själv för att bli redirectad till BankId så borde ju tjänsten redan där sätta stopp.