image

Webwinkel vraagt om scan van rijbewijs en creditcardnummer

donderdag 19 september 2013, 16:21 door Redactie, 7 reacties

Eén van de grootste winkelketens in Australië heeft beveiligingsexperts doen verbazen doordat het via e-mail om allerlei persoonlijke gegevens van klanten vraagt. Microsoft MVP David Burela wilde bij Big W een Playstation 4 bestellen. Big W is onderdeel van Woolworths Limited, de grootste retailer in Australië.

Burela ontving na zijn bestelling een e-mail met het verzoek om een scan van zijn rijbewijs, recente energierekening en een creditcardafschrift, waar de naam van de kaarthouder, het factuuradres en het kaartnummer zichtbaar op moesten zijn. Burela moest de scans per e-mail terugsturen.

Belang van klanten

Volgens Big W is het verzoek om de gegevens in het belang van klanten, hoewel de e-mail liet weten dat die niet verplicht zijn om aan het verzoek mee te werken. Aangeschreven klanten die de gevraagde informatie niet opsturen lopen echter het risico dat hun bestelling wordt geannuleerd, zo staat verder in het bericht vermeld.

Burela nam contact op met Big W, omdat het mogelijk om een phishingmail zou kunnen gaan, hoewel het bericht zijn naam en ordernummer bevatte. De e-mail bleek echt van het bedrijf afkomstig te zijn. Aangezien Burela zijn gegevens niet scande en doorstuurde werd zijn bestelling uiteindelijk geannuleerd.

Onveilig

De Australische beveiligingsexpert Troy Hunt stelt dat e-mail geen veilige manier is om gegevens op te slaan. In de meeste gevallen wordt er geen encryptie gebruikt, waardoor de inhoud van de berichten voor iedereen zichtbaar is die toegang tot het verkeer van de klant of Big W kan krijgen.

Daarnaast zou de winkelketen mogelijk in strijd met de PCI DSS-wetgeving handelen, die stelt dat gegevens van kaarthouders over open netwerken versleuteld moeten worden verstuurd. Iets waarbij e-mail geen sprake van is.

Image

Reacties (7)
19-09-2013, 17:20 door Anoniem
Ze mogen dit wat mij betreft niet eens vragen. Laat ze even heel snel failliet gaan.
19-09-2013, 19:59 door schele - Bijgewerkt: 19-09-2013, 19:59
Tja, als ze groot genoeg zijn wordt het verpatsen van die info nog lucratiever dan de webshop...
20-09-2013, 08:46 door Anoniem
"Ze mogen dit wat mij betreft niet eens vragen. Laat ze even heel snel failliet gaan."

Hoezo, ken je de Australische wet ? Verder mogen ze dit best vragen, ook in Nederland. Het gaat hier eerder over de vraag of de informatie op een veilige manier wordt aangeleverd.

Indien het encrypted gebeurt, en indien je verdere gegevens (die ook niet zichtbaar hoeven te zijn) onleesbaar maakt, dan is er weinig aan de hand. Wat vind jij dat men wel zo mogen vragen aan informatie om het risico op fraude via online bestellingen laag te houden ?

Wel vraag ik mij af waarom je een rijbewijs moet hebben om een Playstation 4 te mogen bestellen. Wat moet je nou indien je geen rijbewijs hebt, of wanneer je geen utility bill op je eigen naam hebt omdat gas/water/licht bijvoorbeeld via een huisgenoot/huisbaas lopen ?
20-09-2013, 10:18 door Anoniem
Verder mogen ze dit best vragen, ook in Nederland. Het gaat hier eerder over de vraag of de informatie op een veilige manier wordt aangeleverd.

Wat NL betreft, dat is misinformatie. Het gaat om de noodzaak voor de gevraagde data. Die is er niet, dus mag er ook niet naar gevraagd worden.

Stem met je voeten als je zulke web shops tegenkomt.
20-09-2013, 10:47 door Anoniem
Hoezo risico op fraude? Je besteld, je betaald, je krijgt je product. Mensen die niet betalen krijgen hun product ook niet neem ik aan.
Dit gaat puur om het vergaren van informatie om door te verkopen.
20-09-2013, 12:57 door N4ppy
Door Anoniem: "Ze mogen dit wat mij betreft niet eens vragen. Laat ze even heel snel failliet gaan."

Hoezo, ken je de Australische wet ? Verder mogen ze dit best vragen, ook in Nederland. Het gaat hier eerder over de vraag of de informatie op een veilige manier wordt aangeleverd.

Indien het encrypted gebeurt, en indien je verdere gegevens (die ook niet zichtbaar hoeven te zijn) onleesbaar maakt, dan is er weinig aan de hand. Wat vind jij dat men wel zo mogen vragen aan informatie om het risico op fraude via online bestellingen laag te houden ?
http://blog.iusmentis.com/2013/07/25/mag-see-tickets-bij-kraftwerkconcertkaartjes-wel-vragen-om-het-nummer-van-je-identiteitsbewijs/

BSN mogen ze niet hebben (staat overigens niet op de voorkant van rijbewijs)

Maar voor mij was dit einde cha-ching. Hoeven zij niet te cancelen doe ik zelf wel :)

En email is standaard niet encrypted. Evt via tls
Maar ze gebruiken
google -> tls mogelijk
woolworth -> tls niet mogelijk

dus niet encrypted
20-09-2013, 14:32 door Anoniem
Eindelijk een verkopende partij die vindt dat je een rijbewijs moet hebben voordat je in een vituele auto of tank stapt.
Minder is dat ze niet naar een vliegbrevet vragen voor het spelen met een flight simulator of starship ... (rijbewijscategorieën AL-IEN),

Als koper moet je dan echter ook kunnen afdwingen dat zo'n on-line shop een digitaal vaardigheidsbewijs en een Privacy Impact Assessment heeft gedaan.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.