När Victor Andersson skulle aktivera en betaltjänst på sin telefon fann han en säkerhetslucka som gjorde att han kunde undkomma säkerhetsspärrar aktiverade av föräldrarna. Via en länk kunde han enkelt kringå Swedbanks, och därmed även Sparbanken Nords, säkerhetskontroller för ungdomar. Problemet gäller bankernas webtjänst internetbanken för unga. Därmed fick Victor Andersson tillgång till de flesta funktioner som vuxna har för sina konton. Bland annat kunde han enkelt låsa upp kontokort som spärrats för beställningar på internet, samt ta bort de beloppsgränser för swish som föräldrar kan sätta för sina barn. Länken kunde dessutom användas av vilken ungdom som helst för att få full kontrol över sina respektive konton, så länge de har tillgång till sitt eget bank-ID.
Barn och ungdomar gavs därmed, med hjälp av länken, full kontroll över sina konton, utan att föräldrar eller förmyndare kan styra gränserna för kontokortens och mobilapparnas överföringar.
Victor Andersson, som hållit på med datorer sedan barnsben, valde att rapportera in buggen till Swedbanks säkerhetsteam, som dagen efter åtgärdade säkerhetsfelet. Någon vidare uppföljning av ärendet fick inte Victor Andersson, och när det blev tal om eventuell ersättning från bankens sida blev det genast problem. Swedbank och Sparbanken Nord hänvisade bara till varandra, och efter över fem timmars total telefontid erbjöds Victor Andersson en ryggsäck för sina insatser.
– Det känns väldigt märkligt att de inte betalar för denna typ av upptäckter. Det här är storbanker som tjänar miljarder. Att erbjudas en ryggsäck för att ha upptäckt en seriös säkerhetsbugg känns som ett hån, säger Victor Andersson.
Många företag, speciellt internationella sådana, har funnit stor nytta i att betala ersättning för upptäckter av buggar, och har infört så kallade bug bounty-program, där frilansare och användare får betalt per upptäckt bugg, med syfte att få hjälp att förbättra användarsäkerhet.
– Det är naturligtvis billigare att betala en summa pengar per bugg, istället för att ha heltidsanställda som sitter med höga, fasta löner för att göra samma jobb, säger Victor Andersson.
Swedbank meddelar på sin hemsida att man inte godkänner buggrapportering med kompensationssyfte, men detta är inget som framkommit i samtalen med bankerna.
– Det var först när jag fick ett mail från säkerhetsteamet som de meddelade att jag inte får någon ersättning. I kundtjänst har bankerna bara hänvisat till varandra, och inte sagt något om att de inte betalar för denna typ av information, säger Victor Andersson.
– Det är märkligt. Skulle föräldrarna komma på detta skulle de ju inte bara bli arga på ungdomarna. De skulle bli arga på bankerna, fortsätter han.
Victor Andersson ifrågasätter bankernas hantering, och pekar på faran med att negligera värdet i buggrapporteringar.
– Vad händer om någon hittar ett problem som är allvarligare än detta? Ska man då rapportera in det på ren välvilja, med den dåliga uppföljning och det dåliga bemötande som varit? Det finns ställen där sådan här information kan säljas för mycket mer pengar än värdet på en ryggsäck, säger Victor Andersson.