Ogiltiga certifikat och saknade licenser hos Quickbit-partner

För fem år sedan lät kryptobolaget Quickbit uppgifter om 17 000 kunder ligga öppet för åtkomst på internet. Hösten 2023 ingick bolaget ett avtal med ett företag som marknadsförde sig med ett ogiltig säkerhetscertifikat samt en ogiltig licens. "Om det du säger stämmer är det inte seriöst, och jag kommer lyfta det med dem", säger Quickbits VD Daniel Sonesson.
Ogiltiga certifikat och saknade licenser hos Quickbit-partner - quickbit collage 2 web
Kryptobolaget Quickbit ingick ett samarbetsavtal med det brittiska bolaget Paysecure. Ett företag som marknadsfört sig med säkerhetslicens som inte var giltig.

Affärsvärlden har tidigare granskat hur Quickbits dotterbolag, Quickbit Limited, fått sin registrering återkallad efter en granskning av tillsynsmyndigheten Gibraltar Financial Services Commission (GFSC). Quickbits Limited överträdde flera avsnitt av den gibraltiska lagstiftningen genom att bland annat brista i sin kundkännedom.

Gibraltarkontoret var stommen i Quickbits omsättning och efter att utredningen inleddes dalade omsättningen. Q1 2023/24 minskade den med 94% jämfört med samma period föregående år. Bolaget publicerade en ny rapport under onsdagen där omsättningen fortsatt är kraftigt nedtryckt.

För att öka transaktionsvolymen tecknade Quickbit ett samarbetssamtal med det Londonbaserade techbolaget Paysecure, något som gjordes månaden efter att Gibraltarkontoret belagts med affärsrestriktioner. I ett pressmeddelande från september 2023 skriver Quickbit att att samarbete ska bidra till “lyfta volymer och intäkter” till en nivå som kan driva Quickbits expansion och tillväxt.

Vad man inte nämner är att Paysecure grundades två månader innan avtalet ingicks, och att bolaget marknadsför sig med ett ogiltigt certifikat.

“Certifieringen är bedräglig”

Att Quickbit tecknade ett avtal med ett bolaget som var två månader gammalt vid tidpunkten berodde enligt Quickbits VD Daniel Sonesson på förtroendet de hade för personerna bakom Paysecure.

“De som har startat bolaget är erfarna och har stora nätverk och kontakter. De har avtal med handlare och affärsverksamheter. Att de beslutat sig för att skapa ett nytt bolag som de vill satsa på som juridisk person för sin affärsverksamhet har vi inte lagt någon större värdering i. Utan det är personer som vi har ett stort förtroende för, eftersom de också känner flera andra ägarna i Quickbit”, säger Daniel Sonesson.

På Paysecures hemsida står att bolaget tillhandahåller en global tjänst som kopplar samman över 500 betalningsleverantörer med hundratals olika betalningsmetoder. De marknadsför sig även med ett certifikat och en licens. Certifikatet innebär att de håller en internationellt erkänd säkerhetsnivå när det kommer till att skydda betalningsrelaterad information. En så kallad PCI DSS. Samt att de haft certifieringen sedan den 22 september 2023 – sex dagar innan de ingick samarbetsavtalet med Quickbit.

Certifikatet som Paysecure lagt ut på sin hemsida. När Afv kontaktar den påstådda utfärdaren menar de att certifieringen är “bedräglig”. Kort därefter tas certifikatet bort från Paysecures hemsida. Foto: Skärmbild från Paysecures hemsida.

När Afv kontaktar företaget som ska ha utfärdat certifikatet, Cybersigma Consulting LLP, får vi svaret att något inte stämmer.

“Vi vill förtydliga att denna certifiering är bedräglig. Vi vidtar omedelbara åtgärder för att undersöka och åtgärda situationen”, uppger Cybersigma i ett mejl till Afv.

Kort därefter tas certifikatet bort från Paysecures hemsida och ersätts en mer kortfattad text om att bolaget följer PCI DSS-kraven.

Inte registrerade hos FINTRAC

Paysecure marknadsför sig även med en licens från Kanada för penningtjänster, vad de kallar för en MSB-licens. Enligt bolaget ger den Paysecure möjligheten att genomföra “valutahandel, sömlös penningöverföring, virtuella valutatransaktioner och förstklassiga betalningstjänster”.

När Afv kontaktar kanadensiska myndigheter får vi svaret att MSB för det första inte är en licens. Det är en obligatorisk registrering för att få utföra penningtjänster i Kanada, och för det andra är Paysecure inte registrerade.

“Paysecure Technology Limited är inte registrerat hos Financial Transactions and Reports Analysis Center of Canada (FINTRAC) som ett penningtjänsteföretag”, uppger FINTRAC i ett mejl till Affärsvärlden.

Efter att Afv intervjuat Quickbits VD om Paysecure har vi fått ett intyg på att Paysecure har en PCI DSS-licens, giltigt från den 7 december 2023. Det innebär att de marknadsförde sig med en ogiltig certifiering i drygt två månader. Texten om den kanadensiska licensen togs bort från Paysecures hemsida dagarna efter intervjun.

17 000 kunder exponerades 2019

Quickbit har en skakig historia av hantering av kundkänslig data. I juli 2019 framkom att Quickbit låtit stora mängder data om deras kunder legat öppet för sökning på internet. Enligt bolagets egen rapport om händelsen fanns inget som tydde på att informationen använts på ett otillbörligt sätt. Men under mer än två veckors tid hade över 300 000 datahändelser relaterade till 17 000 kunder i 50 olika länder legat helt öppet för åtkomst på nätet.

Vikten av PCI DSS vid kortbetalningar

Payment Card Industry Data Security Standard (PCI DSS) skapades av kortbolagen VISA, Mastercard, American Express och JCB.

Standarden gör processen runt kortbetalningar så säker som möjligt och minskar risken för bedrägerier. PCI DSS handlar om att ha åtgärder på plats som skyddar betalningsrelaterad information. Kraven inbegriper bland annat att ha en hög nivå av säkerhet i sitt nätverk, använda kryptering vid betalskortstransaktioner, skydda system mot sårbarheter och begränsa samt kontrollera tillgången på information.

Om ett företag hanterar kortdata utan att följa riktlinjerna riskerar de att bli utsatta för cyberangrepp, vilket kan leda till att kortdata stjäls och att kundernas kort används bedrägligt.

Källor: Swedbank, säkerhetsföretaget Sentor och Pontus Johnson, professor på Centrum för cyberförsvar och informationssäkerhet.

“De exponerade databasposterna innehöll information om enskilda transaktioner som genomförs över QuickBits plattform, och inkluderar kunds namn, adress, e-post, kön, födelsedatum, betalningsinformation (typ av kreditkort som används och första sex och sista fyra siffrorna), källvaluta och målvaluta (till exempel EUR till BTC) och transaktionsbelopp”, skrev bolaget i sin rapport om händelsen.

För att skydda kunders betalinformation och minska risken för bedrägerier har det tagits fram standarder som PCI DSS. Liknande cybersäkerhetsstandarder finns för exempelvis elbolag i USA. Om man hanterar kortinformation utan en sådan standard ökar risken för cyberangrepp. Men om ett bolag är oseriöst utgör standarden likväl inte ett fullgott skydd.

Det säger Pontus Johnson, professor vid KTH och föreståndare för lärosätets samarbete med Försvarsmakten, Centrum för cyberförsvar och informationssäkerhet.

“Det här är en industrispecifik standard som handlar om att man ska exempelvis ha brandväggar och kryptera data. Om man inte gör det ökar risken att man blir utsatt för ett cyberangrepp. Men dessa standarder skyddar inte om bolaget är oseriöst. Om man ger sina kortuppgifter till ett oseriöst bolag så vet man inte vad de gör med dem, om de till exempel säljer dem”, säger han.

“Dessa standarder skyddar inte om bolaget är oseriöst”, säger Pontus Johnson,  föreståndare för Centrum för cyberförsvar och informationssäkerhet, om PCI DSS. 
Foto: Anders Wiklund / TT / kod 10040

Vad finns det för risker för konsumenter som genomför transaktioner, om bolaget inte har den här standarden på plats?

“Risken är att kunder lämnar över sina kortuppgifter, som är känsliga, till en aktör som inte skyddar dem ordentligt. Då kan de bli stulna av en hackare som tar sig in i systemet. Då kan de användas för att göra betalningar med kundens pengar”, säger Pontus Johnson.

Quickbit: “Kommer reagera på det”

Enligt Quickbit har det inte förelegat några risker för bolagets kunder när det kommer till deras betalningsrelaterade information under perioden som Paysecure inte hade korrekt säkerhetsstandard på plats.

“Nej, definitivt inte. När en affärsrelation inleds så görs det för att man passerat alla checkpoints. Du måste uppfylla villkoren, ha compliance för att bedriva affärsverksamheten. Du måste ha avtal på plats för att veta vem som har olika ansvarstaganden. Vi har inte påbörjat någon som helst verksamhet med dem förrän allt varit på plats”, säger Daniel Sonesson.

Paysecure har även marknadsfört sig med en kanadensisk licens, en så kallad MSB-licens. I kontakt med kanadensiska myndigheter framgår att det inte är en licens, utan en registrering, och att Paysecure inte är registrerade hos kanadensiska myndigheter. Vad är din kommentar till det?

“Det låter oroväckande. Om det du säger stämmer är det inte seriöst, och jag kommer lyfta det med dem. Paysecure har det som krävs för ett samarbete med oss, men jag kan inte kommentera exakt vad de haft vid en viss tidpunkt.”

Har du fortsatt förtroende för Paysecure?

“I den affärskedjan som vi har tillsammans så bedriver vi ett bra partnerskap. Men det är klart att om det du säger stämmer då kommer jag reagera på det. Men om man tittar på säkerheten i den kedja som Quickbit har, där är vi säkra. Den är vi nöjda med.”

Uppdatering

Efter Afv publicerat denna artikel skickade Quickbit ut ett pressmeddelande där de skriver att artikeln saknar viss väsentlig information. Vi noterar att bolaget inte kan belägga några felaktigheter i artikeln.

Däremot skriver de ett par rader i pressmeddelandet som är värda att lyfta upp och bemöta:

“Affärsvärlden nämner att Paysecure inte innehar en MSB-registrering. Den registreringen innehas däremot av företaget Choicepay, som är ett samarbetsföretag till Paysecure, vilket Quickbit har framfört till Affärsvärlden, men som inte framgår av artikeln”.

Det är korrekt att detta utelämnats i artikeln. Dels för att förbättra läsbarheten i det publicerade materialet som för gemene man redan är komplicerat. Men främst eftersom Choicepays MSB-registrering saknar relevans för Quickbit och samarbetspartnern Paysecure. Detta då en MSB-registrering, enligt kanadensiska myndigheten FINTRAC, bara får användas av det bolag som innehar den.

“Juridiska personer kan inte använda registreringen av en annan juridisk person”, uppger myndigheten i ett mejl till Afv.

Läs även:

Quickbits kassako i Gibraltar bröt mot lagen

Dela:

Kommentera artikeln

I samarbete med Ifrågasätt Media Sverige AB (”Ifrågasätt”) erbjuder Afv möjlighet för läsare att kommentera artiklar. Det är alltså Ifrågasätt som driver och ansvarar för kommentarsfunktionen. Afv granskar inte kommentarerna i förväg och kommentarerna omfattas inte av Affärsvärldens utgivaransvar. Ifrågasätts användarvillkor gäller.

Grundreglerna är:

  • Håll dig till ämnet
  • Håll en respektfull god ton

Såväl Ifrågasätt som Afv har rätt att radera kommentarer som inte uppfyller villkoren.

Annons från Spotlight Group