image

Blippy lekt creditcardgegevens van gebruikers

maandag 26 april 2010, 09:59 door Redactie, 3 reacties

Blippy is een nieuwe dienst die gebruikers hun creditcard aankopen met vrienden laat delen, maar daarbij stonden in sommige gevallen ook creditcardnummers vermeld. Vrijdag werd bekend dat via Google 127 creditcard transacties en vier creditcardnummers van leden waren te vinden. Blippy vroeg Google om de gegevens uit de cache te verwijderen en probeerde daarbij de situatie te bagatelliseren. "Hoewel het super eng lijkt en voor ons gênant is, is het veel minder erg dan het lijkt." Daarbij meldt de "social oversharing site" dat gebruikers in het algemeen niet verantwoordelijk zijn als iemand anders zonder toestemming met hun creditcards aankopen doet.

Beveiligingsbedrijf Websense ziet het heel anders. "Dit is voor cybercriminelen een droom die werkelijkheid wordt. We adviseren alle gebruikers om zeer voorzichtig te zijn als ze gevoelige financiele gegevens met iemand anders delen en ze het worst case scenario moeten indenken wat er kan gebeuren."

Onoplettendheid
Volgens mede-oprichter van Blippy Philip Kaplan, ontstond het probleem door een onoplettendheid. De website besefte niet dat de ruwe creditcardgegevens zichtbaar in de HTML broncode van de pagina's waren. De data werd later verwijderd, maar was nog steeds in de Google cache te vinden. Een dag nadat alle creditcardgegevens verwijderd waren, werd er weer een nummer gevonden.

Reacties (3)
26-04-2010, 10:43 door Anoniem
Het is beschamend, verwerpelijk en bovenal onprofessioneel hoe Blippy de situatie bagatelliseert. De personen bij Blippy nemen geen verantwoordelijkheid en zijn ook niet open en eerlijk over het probleem. Als een consument iets moet kunnen verwachten van een financiele dienstverlener/verwerker van hun financiele gegevens is het openheid en eerlijkheid. Waar de personen van Blippy niet open en eerlijk over zijn zijn de problemen en de gevaren voor hun klanten.

Wat ze niet vertellen is dat je als houder van zo'n kaartnummer als eerste het slachtoffer bent: een voor de houder ongewenste transactie heeft effect op je saldo en verdere gebruiksmogelijkheden om daarna nog te kunnen betalen.

Wat ze niet vertellen is dat je als slachtoffer moet -hopen- dat de creditcardmaatschappij het met je eens is dat de transactie illegaal was: er is geen garantie. Daarmee is het risico wederom in eerste instantie voor de houder.

Wat ze niet vertellen is dat je als slachtoffer van het lek gebonden zit aan tijd en kosten voor het vervangen van de kaart en het wijzigen van je gegevens bij diverse instanties. Dat risico ligt wederom bij de houder.

Wat ze niet vertellen is dat Blippy nagenoeg geen risico heeft door hun onprofessionele handelen terwijl ze wel de voordelen van het verwerken van je gegevens nemen: Als personen van Blippy dit soort fouten maken moet de creditcardmaatschappij of houder van het nummer maar bewijzen dat misbruik door Blippy komt, wat nagenoeg onmogelijk is.

Met andere woorden: bij Blippy hangen ze lekker achterover, wuiven risico's etc van het gebeuren af terwijl ze door met hun handelen wel flink geld proberen te verdienen aan je financiele/persoonlijke gegevens.

De vraag is wat hier van te leren:
- waarom zouden ze bij Blippy creditcardgegevens mogen verwerken?
- waarom zouden ze bij Blippy ongestraft uit dit gebeuren mogen komen?
- waarom is Blippy acceptabel in hun opzet en handelswijze?

Ik zie niet in waarom een externe partij financiele gegevens mag verwerken terwijl het risico van de verwerking feitelijk bij de houder van de kaart en de kaartaanbieder ligt. Financiele gegevens die bedoeld zijn om een transactie te kunnen doen zijn bedoeld voor de transactie zelf en niet voor leuke andere extra's die niets direct met het doen van de transactie zelf te maken heeft. Authenticatie/authorisatiegegevens horen gescheiden te zijn van overige kenmerken van de transacties! Op die basis mogen bedrijven ook nooit de creditcardnummers en codes bewaren, dus de personen bij blippy al helemaal niet.
26-04-2010, 10:50 door Skizmo
Blippy is een nieuwe dienst die gebruikers hun creditcard aankopen met vrienden laat delen
Eeuh wat ? Waarom zou ik dat willen ? Of is dit een poch site ofzo ? "kijk eens wat ik gekocht heb".
27-04-2010, 18:12 door phedny
Om te beginnen slaat Blippy niet alleen creditcard-nummers op, maar de inloggegevens (username, password) van de online applicatie van de bank (denk BoA) of dienst (zoals iTunes) waar een klant zit. Hiermee kunnen ze vervolgens de transactiegegevens ophalen om te publiceren.

Verder ligt in Amerika voor consumententransactie de verantwoordelijkheid voor het aantonen van de validiteit van een transactie bij de bank. Als de bank niet hard kan maken dat een transactie door de eigenlijke kaarthouder is geautoriseerd, moet deze worden teruggedraaid.

Overigens vinden de creditcardmaatschappijen in de VS het nog altijd belangrijker dat het systeem makkelijk te gebruiken is dan de veiligheid die het biedt. Ze zijn van mening dat de verliezen door fraude lager liggen dan het verlies aan inkomen wanneer een transactie omslachtiger wordt, bijv. wanneer pincodes nodig zijn, zoals dat in Europa al wel ingevoerd wordt (EMV).
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.