image

FTC: TRUSTe privacyzegel misleidde consumenten

dinsdag 18 november 2014, 11:32 door Redactie, 5 reacties

Het TRUSTe privacyzegel dat aangeeft hoe websites en bedrijven met de privacy van hun bezoekers omgaan heeft consumenten misleid, zo stelt de Amerikaanse toezichthouder FTC. Het privacyzegel wordt door TRUSTe uitgereikt aan websites die zich aan bepaalde privacyregels houden.

Van 2006 tot januari 2013 werd de hercertificering van het privacyzegel bij websites die het zegel gebruikten in meer dan 1.000 gevallen niet uitgevoerd, terwijl TRUSTe op de eigen website stelt dat gecertificeerde websites elk jaar opnieuw worden gecertificeerd. Daarnaast was TRUSTe al sinds 2008 geen non-profitorganisatie meer, maar werden bedrijven die het privacyzegel gebruikten en waarin stond dat TRUSTe een non-profit was niet verplicht dit aan te passen.

TRUSTe en de FTC hebben nu een schikking getroffen. Het bedrijf mag geen misleidende informatie over het certificeringsproces en de bedrijfsstatus meer verspreiden en moet daarnaast 200.000 dollar betalen.

Reacties (5)
18-11-2014, 12:41 door Erik van Straten
Op dezelfde wijze moet er ook maar eens naar thuiswinkel.org gekeken worden, want dat certificaat maakt ook niet altijd waar wat het claimt. En dus kunnen consumenten erdoor worden misleid.

Een voorbeeld dat ik in enkele minuten kon vinden, uit http://www.vliegwinkel.nl/nieuwsbrief (merk op dat de URL begint met http i.p.v. met https en de webbrowser dan, vanzelfprekend, geen slotje toont):
Inschrijven voor nieuwsbrief
[...]
Personal details
  Your Email Address:
  Your firstname:
  Your lastname:
  Your home airport:

Uit https://www.thuiswinkel.org/leden/vliegwinkel.nl/certificaat:
Pagina’s waarop persoonsgegevens getoond of ingevuld moeten worden, zijn tenminste met een SSL-certificaat beveiligd (in de adresbalk van de browser te zien aan: HTTPS en/of slotje onder of boven aan de webpagina).

Nu zou het hier natuurlijk om een incidentje kunnen gaan dat nog maar heel kort bestaat, maar daar lijkt geen sprake van: https://www.security.nl/posting/31845/vliegwinkel_nl+onbeveiligd%3F.
18-11-2014, 13:09 door Anoniem
Merk op dat het tonen van een formulier zonder voor-ingevulde persoonsgegevens met de opdracht daarop gegevens
in te vullen niets zegt over het beveiligd versturen van die gegevens. Het kan best zijn dat de post verwijst naar
een https url en de gegevens dus wel degelijk versleuteld verzonden worden (is niet zo op deze voorbeeldpagina,
maar deze denkfout wordt vaak gemaakt)

Het is zelfs zo dat als het formulier op een https pagina met slotje staat, het posten nog best onversleuteld kan gebeuren.
Het slotje op een formulier pagina is dan ook misleidend. Het bepaalt niet wat er met je ingevulde gegevens gaat gebeuren,
nee het bepaalt hoe het formulier naar jou toe gekomen is!
18-11-2014, 13:41 door Anoniem
Helaas zijn er ook bonus certificeringen die er schijnbaar alleen maar toe dienen om mensen geld uit hun zak te kloppen. Is gewoon jammer, maar zolang erkennen zijn die hier business in zien en er ook mensen zijn die er in trappen, zal het blijven bestaan
18-11-2014, 16:23 door Erik van Straten
Door Anoniem: Merk op dat het tonen van een formulier zonder voor-ingevulde persoonsgegevens met de opdracht daarop gegevens
in te vullen niets zegt over het beveiligd versturen van die gegevens. Het kan best zijn dat de post verwijst naar
een https url en de gegevens dus wel degelijk versleuteld verzonden worden (is niet zo op deze voorbeeldpagina,
maar deze denkfout wordt vaak gemaakt)
Maar het kan ook best zo zijn dat ze niet versleuteld worden verzonden, zoals op deze site het geval is.

Maar het kan ook best zo zijn dat ze niet versleuteld worden verzonden, ondanks dat de webserver wel om een https post o.i.d. vraagt. Als er namelijk sprake is van een MitM aanval, zal de gebruiker de gegevens onversleuteld naar de aanvaller sturen. Die aanvaller kan er voor kiezen om ze door te zetten naar de webserver, al dan niet gewijzigd (via https, maar daar heeft de gebruiker niets meer aan), of ze geheel te droppen.

Precies HIEROM is het essentieel dat het slotje getoond wordt op het moment dat je gegevens invult. Doe je dat niet dan is er sprake van flauwekulbeveiliging, die een eindgebruiker niet zelf kan controleren. Gelukkig heeft thuiswinkel.org dit correct verwoord. Alleen wel jammer dat ze certificaten verlenen en verlengen aan dit soort prutsersites.
18-11-2014, 16:25 door Anoniem
Door Anoniem: Merk op dat het tonen van een formulier zonder voor-ingevulde persoonsgegevens met de opdracht daarop gegevens
in te vullen niets zegt over het beveiligd versturen van die gegevens. Het kan best zijn dat de post verwijst naar
een https url en de gegevens dus wel degelijk versleuteld verzonden worden (is niet zo op deze voorbeeldpagina,
maar deze denkfout wordt vaak gemaakt)

Als je zo'n mixed content pagina gebruikt, is het eenvoudig voor een aanvaller om de browser wijs te maken dat de gegevens onversleuteld verstuurd moeten worden.

Peter
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.