Webwinkel vraagt om scan van rijbewijs en creditcardnummer
Eén van de grootste winkelketens in Australië heeft beveiligingsexperts doen verbazen doordat het via e-mail om allerlei persoonlijke gegevens van klanten vraagt. Microsoft MVP David Burela wilde bij Big W een Playstation 4 bestellen. Big W is onderdeel van Woolworths Limited, de grootste retailer in Australië.
Burela ontving na zijn bestelling een e-mail met het verzoek om een scan van zijn rijbewijs, recente energierekening en een creditcardafschrift, waar de naam van de kaarthouder, het factuuradres en het kaartnummer zichtbaar op moesten zijn. Burela moest de scans per e-mail terugsturen.
Belang van klanten
Volgens Big W is het verzoek om de gegevens in het belang van klanten, hoewel de e-mail liet weten dat die niet verplicht zijn om aan het verzoek mee te werken. Aangeschreven klanten die de gevraagde informatie niet opsturen lopen echter het risico dat hun bestelling wordt geannuleerd, zo staat verder in het bericht vermeld.
Burela nam contact op met Big W, omdat het mogelijk om een phishingmail zou kunnen gaan, hoewel het bericht zijn naam en ordernummer bevatte. De e-mail bleek echt van het bedrijf afkomstig te zijn. Aangezien Burela zijn gegevens niet scande en doorstuurde werd zijn bestelling uiteindelijk geannuleerd.
Onveilig
De Australische beveiligingsexpert Troy Hunt stelt dat e-mail geen veilige manier is om gegevens op te slaan. In de meeste gevallen wordt er geen encryptie gebruikt, waardoor de inhoud van de berichten voor iedereen zichtbaar is die toegang tot het verkeer van de klant of Big W kan krijgen.
Daarnaast zou de winkelketen mogelijk in strijd met de PCI DSS-wetgeving handelen, die stelt dat gegevens van kaarthouders over open netwerken versleuteld moeten worden verstuurd. Iets waarbij e-mail geen sprake van is.
Hoezo, ken je de Australische wet ? Verder mogen ze dit best vragen, ook in Nederland. Het gaat hier eerder over de vraag of de informatie op een veilige manier wordt aangeleverd.
Indien het encrypted gebeurt, en indien je verdere gegevens (die ook niet zichtbaar hoeven te zijn) onleesbaar maakt, dan is er weinig aan de hand. Wat vind jij dat men wel zo mogen vragen aan informatie om het risico op fraude via online bestellingen laag te houden ?
Wel vraag ik mij af waarom je een rijbewijs moet hebben om een Playstation 4 te mogen bestellen. Wat moet je nou indien je geen rijbewijs hebt, of wanneer je geen utility bill op je eigen naam hebt omdat gas/water/licht bijvoorbeeld via een huisgenoot/huisbaas lopen ?
Wat NL betreft, dat is misinformatie. Het gaat om de noodzaak voor de gevraagde data. Die is er niet, dus mag er ook niet naar gevraagd worden.
Stem met je voeten als je zulke web shops tegenkomt.
Dit gaat puur om het vergaren van informatie om door te verkopen.
Hoezo, ken je de Australische wet ? Verder mogen ze dit best vragen, ook in Nederland. Het gaat hier eerder over de vraag of de informatie op een veilige manier wordt aangeleverd.
Indien het encrypted gebeurt, en indien je verdere gegevens (die ook niet zichtbaar hoeven te zijn) onleesbaar maakt, dan is er weinig aan de hand. Wat vind jij dat men wel zo mogen vragen aan informatie om het risico op fraude via online bestellingen laag te houden ?
BSN mogen ze niet hebben (staat overigens niet op de voorkant van rijbewijs)
Maar voor mij was dit einde cha-ching. Hoeven zij niet te cancelen doe ik zelf wel :)
En email is standaard niet encrypted. Evt via tls
Maar ze gebruiken
google -> tls mogelijk
woolworth -> tls niet mogelijk
dus niet encrypted
Minder is dat ze niet naar een vliegbrevet vragen voor het spelen met een flight simulator of starship ... (rijbewijscategorieën AL-IEN),
Als koper moet je dan echter ook kunnen afdwingen dat zo'n on-line shop een digitaal vaardigheidsbewijs en een Privacy Impact Assessment heeft gedaan.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
