Webwinkel vraagt om scan van rijbewijs en creditcardnummer
Eén van de grootste winkelketens in Australië heeft beveiligingsexperts doen verbazen doordat het via e-mail om allerlei persoonlijke gegevens van klanten vraagt. Microsoft MVP David Burela wilde bij Big W een Playstation 4 bestellen. Big W is onderdeel van Woolworths Limited, de grootste retailer in Australië.
Burela ontving na zijn bestelling een e-mail met het verzoek om een scan van zijn rijbewijs, recente energierekening en een creditcardafschrift, waar de naam van de kaarthouder, het factuuradres en het kaartnummer zichtbaar op moesten zijn. Burela moest de scans per e-mail terugsturen.
Belang van klanten
Volgens Big W is het verzoek om de gegevens in het belang van klanten, hoewel de e-mail liet weten dat die niet verplicht zijn om aan het verzoek mee te werken. Aangeschreven klanten die de gevraagde informatie niet opsturen lopen echter het risico dat hun bestelling wordt geannuleerd, zo staat verder in het bericht vermeld.
Burela nam contact op met Big W, omdat het mogelijk om een phishingmail zou kunnen gaan, hoewel het bericht zijn naam en ordernummer bevatte. De e-mail bleek echt van het bedrijf afkomstig te zijn. Aangezien Burela zijn gegevens niet scande en doorstuurde werd zijn bestelling uiteindelijk geannuleerd.
Onveilig
De Australische beveiligingsexpert Troy Hunt stelt dat e-mail geen veilige manier is om gegevens op te slaan. In de meeste gevallen wordt er geen encryptie gebruikt, waardoor de inhoud van de berichten voor iedereen zichtbaar is die toegang tot het verkeer van de klant of Big W kan krijgen.
Daarnaast zou de winkelketen mogelijk in strijd met de PCI DSS-wetgeving handelen, die stelt dat gegevens van kaarthouders over open netwerken versleuteld moeten worden verstuurd. Iets waarbij e-mail geen sprake van is.
Hoezo, ken je de Australische wet ? Verder mogen ze dit best vragen, ook in Nederland. Het gaat hier eerder over de vraag of de informatie op een veilige manier wordt aangeleverd.
Indien het encrypted gebeurt, en indien je verdere gegevens (die ook niet zichtbaar hoeven te zijn) onleesbaar maakt, dan is er weinig aan de hand. Wat vind jij dat men wel zo mogen vragen aan informatie om het risico op fraude via online bestellingen laag te houden ?
Wel vraag ik mij af waarom je een rijbewijs moet hebben om een Playstation 4 te mogen bestellen. Wat moet je nou indien je geen rijbewijs hebt, of wanneer je geen utility bill op je eigen naam hebt omdat gas/water/licht bijvoorbeeld via een huisgenoot/huisbaas lopen ?
Wat NL betreft, dat is misinformatie. Het gaat om de noodzaak voor de gevraagde data. Die is er niet, dus mag er ook niet naar gevraagd worden.
Stem met je voeten als je zulke web shops tegenkomt.
Dit gaat puur om het vergaren van informatie om door te verkopen.
Hoezo, ken je de Australische wet ? Verder mogen ze dit best vragen, ook in Nederland. Het gaat hier eerder over de vraag of de informatie op een veilige manier wordt aangeleverd.
Indien het encrypted gebeurt, en indien je verdere gegevens (die ook niet zichtbaar hoeven te zijn) onleesbaar maakt, dan is er weinig aan de hand. Wat vind jij dat men wel zo mogen vragen aan informatie om het risico op fraude via online bestellingen laag te houden ?
BSN mogen ze niet hebben (staat overigens niet op de voorkant van rijbewijs)
Maar voor mij was dit einde cha-ching. Hoeven zij niet te cancelen doe ik zelf wel :)
En email is standaard niet encrypted. Evt via tls
Maar ze gebruiken
google -> tls mogelijk
woolworth -> tls niet mogelijk
dus niet encrypted
Minder is dat ze niet naar een vliegbrevet vragen voor het spelen met een flight simulator of starship ... (rijbewijscategorieën AL-IEN),
Als koper moet je dan echter ook kunnen afdwingen dat zo'n on-line shop een digitaal vaardigheidsbewijs en een Privacy Impact Assessment heeft gedaan.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer
Grijp deze unieke kans voor carrière-ontwikkeling in informatiebeveiliging! Bij Esri bouw je vertrouwensrelaties op en help je zowel ons als onze klanten veiligere technologie te gebruiken. Ben jij de ervaren Security Officer die energie krijgt van werken in 'twee werelden'? Solliciteer dan nu!
Security Specialist Malware
NCSC
Zit cybersecurity diep in je DNA? Heb jij het in je om op het moment dat het er echt toe doet samen met je collega’s tot de juiste (technische) oplossing te komen? Als security specialist malware bij het Nationaal Cyber Security Centrum (NCSC) doe jij er alles aan om de impact van digitale dreigingen te verminderen en incidenten tegen te gaan.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
No more ransomware!
De nieuwe Ransomware Awareness Experience training biedt een realistische maar vooral leuke introductie in de wereld van ransomware. De deelnemers ervaren hoe eenvoudig een organisatie het slachtoffer kan worden van ransomware en leren meteen hoe een besmetting kan worden voorkomen!