mboost-dp1
Sikkerhedshul eller feature?
Forleden dag bestilte jeg nogle varer fra en større dansk internetbutik.
Denne butik har den smarte feature at man bare kan skrive sin email-adresse (hvis man har handlet der før, naturligvis), og så udfylder den selv resten af felterne med navn, adresse og tlf. nr.
Når jeg tænker tilbage har jeg sikkert set den feature flere andre steder, men de steder jeg prøvede efterfølgende krævede et password eller tlf. nr. for at autoudfylde de andre felter.
Jeg prøvede så med email-adresser på personer jeg kender (og hvor jeg allerede kender deres adresse og tlf. nr.), og som jeg ved plejer at være beskyttende omkring deres personlige oplysninger, og jeg fandt dem ganske rigtigt i registret. Det kan tyde på at det ikke kun er mig der har overset at oplysningerne er tilgængelige på den måde.
Da jeg ikke mente at det var fremgået tydeligt at mine oplysninger ville være så let tilgængelige, og da jeg ikke synes det stemte overens med deres politik for beskyttelse af personlige oplysninger, skrev jeg en mail til dem hvor jeg bad dem om at ændre deres loginsystem til at kræve password e.l.
Jeg har nu fået svar tilbage om at de ikke selv ser det som et sikkerhedshul, men som en feature, og at jeg godt kan få mine oplysninger slettet fra registret (hvilket jeg også vil).
Men hvad mener I? Er det okay at man på den måde kan hente personlige oplysninger ud fra en email-adresse? Hvad kan/bør jeg gøre nu?
Skal jeg skrive hvem det er?
Kender I andre sider der fungerer på samme måde, så jeg også kan få fjernet mine oplysninger derfra?
Denne butik har den smarte feature at man bare kan skrive sin email-adresse (hvis man har handlet der før, naturligvis), og så udfylder den selv resten af felterne med navn, adresse og tlf. nr.
Når jeg tænker tilbage har jeg sikkert set den feature flere andre steder, men de steder jeg prøvede efterfølgende krævede et password eller tlf. nr. for at autoudfylde de andre felter.
Jeg prøvede så med email-adresser på personer jeg kender (og hvor jeg allerede kender deres adresse og tlf. nr.), og som jeg ved plejer at være beskyttende omkring deres personlige oplysninger, og jeg fandt dem ganske rigtigt i registret. Det kan tyde på at det ikke kun er mig der har overset at oplysningerne er tilgængelige på den måde.
Da jeg ikke mente at det var fremgået tydeligt at mine oplysninger ville være så let tilgængelige, og da jeg ikke synes det stemte overens med deres politik for beskyttelse af personlige oplysninger, skrev jeg en mail til dem hvor jeg bad dem om at ændre deres loginsystem til at kræve password e.l.
Jeg har nu fået svar tilbage om at de ikke selv ser det som et sikkerhedshul, men som en feature, og at jeg godt kan få mine oplysninger slettet fra registret (hvilket jeg også vil).
Men hvad mener I? Er det okay at man på den måde kan hente personlige oplysninger ud fra en email-adresse? Hvad kan/bør jeg gøre nu?
Skal jeg skrive hvem det er?
Kender I andre sider der fungerer på samme måde, så jeg også kan få fjernet mine oplysninger derfra?
engfeh (1) skrev:Men hvad mener I? Er det okay at man på den måde kan hente personlige oplysninger ud fra en email-adresse? Hvad kan/bør jeg gøre nu?
Nej, det synes jeg bestemt ikke er okay. Tror ikke du kan gøre så meget andet end at gøre brugerne opmærksomme på det.
F.eks. ved at skrive til Version2 eller lignende medier.
engfeh (1) skrev:Skal jeg skrive hvem det er?
Det synes jeg da du skal når nu det er en feature og ikke en bug.
Jeg vil da gerne slettes fra sådan et sted hvis jeg også findes i deress database.
Jeg er nu blevet fjernet fra deres database. Til deres ros må det trods alt siges at det gik meget stærkt (indenfor få minutter efter jeg skrev til dem).
Jeg har sendt et tip til version2 - så må vi se om de gider skrive om det.
Anyway: Det drejer sig om av-cables.dk.
Vil det være en idé at melde dem til datatilsynet for overtrædelse af paragraf 41 stk 3 i persondataloven?
Jeg har sendt et tip til version2 - så må vi se om de gider skrive om det.
Anyway: Det drejer sig om av-cables.dk.
Vil det være en idé at melde dem til datatilsynet for overtrædelse af paragraf 41 stk 3 i persondataloven?
Persondataloven skrev:Stk. 3. Den dataansvarlige skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven. Tilsvarende gælder for databehandlere.
Hej
Tak for jeres kommentarer. Der er en del webshops som bruger denne feature. F.eks bruger smartmen.dk som er danmarks største online forhandler af tøj også funktionen på deres site. Mange af vores faste kunder er glade for funtionen, da det gør det nemmere for dem at bestille varer fra vores site. Det er ikke en funktion vi har for at gøre skade på vores kunder, det vil vi jo ikke give nogen mening. Det er klart at vi vil undrsøge om funktionen ikke er efter de gældene regler, hvis det skulle vise sig at være imod reglerne vil vi selvfølgelig straks tage action på problemet.
Mvh
Christian
Av-cables.dk
Tak for jeres kommentarer. Der er en del webshops som bruger denne feature. F.eks bruger smartmen.dk som er danmarks største online forhandler af tøj også funktionen på deres site. Mange af vores faste kunder er glade for funtionen, da det gør det nemmere for dem at bestille varer fra vores site. Det er ikke en funktion vi har for at gøre skade på vores kunder, det vil vi jo ikke give nogen mening. Det er klart at vi vil undrsøge om funktionen ikke er efter de gældene regler, hvis det skulle vise sig at være imod reglerne vil vi selvfølgelig straks tage action på problemet.
Mvh
Christian
Av-cables.dk
vhu12 (5) skrev:Der er en del webshops som bruger denne feature. F.eks bruger smartmen.dk som er danmarks største online forhandler af tøj også funktionen på deres site.
Det synes jeg er ret irrelevant for hvorvidt I skal gøre det.
Men jeg vil da undersøge om det passer - jeg har aldrig handlet hos dem. Så kan vi jo høre om de også mener det er en fornuftig måde at beskytte personlige oplysninger på.
Og hvis I bliver meldt til datatilsynet skal jeg da nok tage dem med i samme ombæring.
vhu12 (5) skrev:Mange af vores faste kunder er glade for funtionen, da det gør det nemmere for dem at bestille varer fra vores site.
Og mange mennesker skænker ikke datasikkerhed en tanke.
Andre sider benytter telefonnummeret til den slags - der bruger de svjv. offentligt tilgængelige registre til at finde din adresse ud fra telefonnummeret. Det har jeg intet problem med; man kunne finde de samme oplysninger på Krak eller De Gule Sider, og kan blive fjernet derfra hvis man vil. Det fungerer tilmed også hvis man aldrig har handlet med jer før. Ville det ikke være en smartere løsning?
vhu12 (5) skrev:Det er ikke en funktion vi har for at gøre skade på vores kunder, det vil vi jo ikke give nogen mening.
Det ved jeg godt. Jeg har handlet hos jer flere gange og været godt tilfreds med jeres service. Men jeg forventer stadig at I beskytter mine fortrolige oplysninger efter bedste evne.
vhu12 (5) skrev:Det er klart at vi vil undrsøge om funktionen ikke er efter de gældene regler, hvis det skulle vise sig at være imod reglerne vil vi selvfølgelig straks tage action på problemet.
Godt. Så vil jeg overveje at vente med at kontakte datatilsynet.
Men jeg synes det er sjovt at I først begynder at tage det seriøst når det bliver diskuteret på et offentligt forum.
Vi har altid haft denne feature på vores site. Sitet bliver løbende kontrolleret af e-mærket. Når E-mærket gennemgår et site, så bliver det virkeligt gennemgået til mindste detalje. Featuren har aldrig været nævnt som et problem.
Det er klart at når noget bliver diskuteret så går vi meget gerne ind i en dialog og det er det vi gør nu, men mener i øvrigt også at vi reagerede på din henvendelse pr. e-mail ?
Vi har kontaktet E-Mærkets jurister og spurgt dem direkte om featuren er imod de gældende regler, mere kan vi ikke gøre ?
Såfremt de er imod reglerne så bliver funktionen naturligvis fjernet.
http://certifikat.emaerket.dk/eshop/av-cables.dk
For at det ikke skal blive en diskussionsklub, vil vi som afsluttende bemærkning poste E-Mærkets kommentar i denne tråd.
Det er klart at når noget bliver diskuteret så går vi meget gerne ind i en dialog og det er det vi gør nu, men mener i øvrigt også at vi reagerede på din henvendelse pr. e-mail ?
Vi har kontaktet E-Mærkets jurister og spurgt dem direkte om featuren er imod de gældende regler, mere kan vi ikke gøre ?
Såfremt de er imod reglerne så bliver funktionen naturligvis fjernet.
http://certifikat.emaerket.dk/eshop/av-cables.dk
For at det ikke skal blive en diskussionsklub, vil vi som afsluttende bemærkning poste E-Mærkets kommentar i denne tråd.
vhu12 (10) skrev:http://certifikat.emaerket.dk/eshop/av-cables.dk
For at det ikke skal blive en diskussionsklub, vil vi som afsluttende bemærkning poste E-Mærkets kommentar i denne tråd.
Well, that puts an end to it.
vhu12 (10) skrev:Vi har altid haft denne feature på vores site. Sitet bliver løbende kontrolleret af e-mærket. Når E-mærket gennemgår et site, så bliver det virkeligt gennemgået til mindste detalje. Featuren har aldrig været nævnt som et problem.
Interessant. Men e-handelsfonden har så vidt jeg ved ingen relation til datatilsynet, så de er vel sådan set ikke kompetente til at bedømme hvorvidt jeres sikkerhed er tilfredsstillende.
Og uanset hvad er I vel også interesseret i at beskytte kundernes personlige oplysninger, og ikke kun i at overholde reglerne, ikke sandt?
vhu12 (10) skrev:Det er klart at når noget bliver diskuteret så går vi meget gerne ind i en dialog og det er det vi gør nu, men mener i øvrigt også at vi reagerede på din henvendelse pr. e-mail ?
Ja, I reagerede. Og som jeg skrev tidligere var I gode til at fjerne mig hurtigt fra databasen. Men udover det lod det ikke til at bekymre jer voldsomt at alle jeres andre kunder stadig er i fare.
Derudover påpegede I at I overvåger jeres databaser, og at I ikke har oplevet problemer med sikkerheden. Det virker som en ret inkompetent udtalelse efter min mening. Som jeg også svarede vil I næppe opdage det hvis en person slår et par email-adresser op. I princippet kan det være sket adskillige gange allerede, uden at I ved noget som helst om det.
At I kan finde på at hive den slags frem som forsvar for jeres dårlige sikkerhed tyder på at I enten ikke aner noget som helst om sikkerhed, eller at I er ligeglade. Jeg ved ikke hvad der er værst.
vhu12 (10) skrev:Vi har kontaktet E-Mærkets jurister og spurgt dem direkte om featuren er imod de gældende regler, mere kan vi ikke gøre ?
Jeg vil egentlig være meget glad for, at blive fortalt at mine oplysninger kan tilgås med min email uden en adgangskode. Jeg har to emails, den ene vil jeg ikke have knyttet til mit rigtige navn og kan findes på offentligt tilgængelige sider på internettet. Den anden bruges privat og kendes kun af dem der personlig kender mig. Så vil jeg da sikre mig, at bruge den private, således folk ikke kan slå op hvem Mr_Mo er, blot ved at slå den email jeg har skrevet i forskellige forums på nettet ind på jeres site.
Så jo I kan gøre mere. To ting. Fortælle jeres kunder om denne feature og den anden ting er at gøre det valgfrit om at gemme sine oplysninger.
Synes ikke som sådan det er forkert, at man kan hente personlige oplysninger ud fra en email-adresse. Det kan man også gøre med et telefonnummer, forskellen er at det ved folk godt og de har også muligheden for at være skjult.
Giv eventuelt folk en mulighed for at fravælge at blive lagret i jeres system. Lav en tjekboks om spørger om i skal gemme oplysningerne til næste gang. Jeg synes en valgmulighed er bedre end en oplysning. I kunne ende med at miste kunder ved at skræmme dem via en advarsel. En valgmulighed vil nok næppe skræmme nogen.
vhu12 (10) skrev:Sitet bliver løbende kontrolleret af e-mærket. Når E-mærket gennemgår et site, så bliver det virkeligt gennemgået til mindste detalje. Featuren har aldrig været nævnt som et problem.
E-mærket bør måske overveje at erstatte de eksisterende medarbejdere med newz.dk.
Jeg synes godt nok ikke det er særlig fedt, at folk der kender min email adresse, kan tjekke om jeg er kunde hos jer, hvor jeg bor, osv.
og tvivler også stærkt på at datatilsynet synes det er fedt.
Jeg kan ikke lige se hvor jeg giver jer lov til at oplyse sådanne ting, når jeg kigger på jeres hjemmeside
og tvivler også stærkt på at datatilsynet synes det er fedt.
Jeg kan ikke lige se hvor jeg giver jer lov til at oplyse sådanne ting, når jeg kigger på jeres hjemmeside
vhu12 (18) skrev:Vi vil helt sikkert lige meget hvad e-mærkets jurister kommer frem til, finde en løsning så ingen føler at deres personlige data, såfremt en person skulle kende deres e-mail er til offentlig beskuelse.
Godt. Hvis I gør det er jeg glad og tilfreds. Har du en idé om hvornår det vil være implementeret?
Ja, sandelig om ikke funktionen er blevet fjernet.
Topkarakter fra mig også - det er sgu meget godt reddet!
Så mangler der bare at blive implementeret en mere sikker erstatning, hvis ikke folk bare kan finde sig i at forblive logget ind.
Evt. med telefonnummer-opslag i stedet.
Men uanset hvad: Godt gået, og mange tak.
Jeg ser frem til at handle hos jer igen!
Topkarakter fra mig også - det er sgu meget godt reddet!
Så mangler der bare at blive implementeret en mere sikker erstatning, hvis ikke folk bare kan finde sig i at forblive logget ind.
Evt. med telefonnummer-opslag i stedet.
Men uanset hvad: Godt gået, og mange tak.
Jeg ser frem til at handle hos jer igen!
Newz.dk approves!
http://i0.kym-cdn.com/photos/images/original/000/1...
http://i0.kym-cdn.com/photos/images/original/000/1...
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Tagwall
Gå til bund