Eén van de grootste winkelketens in Australië heeft beveiligingsexperts doen verbazen doordat het via e-mail om allerlei persoonlijke gegevens van klanten vraagt. Microsoft MVP David Burela wilde bij Big W een Playstation 4 bestellen. Big W is onderdeel van Woolworths Limited, de grootste retailer in Australië.
Burela ontving na zijn bestelling een e-mail met het verzoek om een scan van zijn rijbewijs, recente energierekening en een creditcardafschrift, waar de naam van de kaarthouder, het factuuradres en het kaartnummer zichtbaar op moesten zijn. Burela moest de scans per e-mail terugsturen.
Volgens Big W is het verzoek om de gegevens in het belang van klanten, hoewel de e-mail liet weten dat die niet verplicht zijn om aan het verzoek mee te werken. Aangeschreven klanten die de gevraagde informatie niet opsturen lopen echter het risico dat hun bestelling wordt geannuleerd, zo staat verder in het bericht vermeld.
Burela nam contact op met Big W, omdat het mogelijk om een phishingmail zou kunnen gaan, hoewel het bericht zijn naam en ordernummer bevatte. De e-mail bleek echt van het bedrijf afkomstig te zijn. Aangezien Burela zijn gegevens niet scande en doorstuurde werd zijn bestelling uiteindelijk geannuleerd.
De Australische beveiligingsexpert Troy Hunt stelt dat e-mail geen veilige manier is om gegevens op te slaan. In de meeste gevallen wordt er geen encryptie gebruikt, waardoor de inhoud van de berichten voor iedereen zichtbaar is die toegang tot het verkeer van de klant of Big W kan krijgen.
Daarnaast zou de winkelketen mogelijk in strijd met de PCI DSS-wetgeving handelen, die stelt dat gegevens van kaarthouders over open netwerken versleuteld moeten worden verstuurd. Iets waarbij e-mail geen sprake van is.
Deze posting is gelocked. Reageren is niet meer mogelijk.