18. maaliskuuta 2015

Klarna tietosuoja olematonta - uusi aukko ja huomioita!

Kirjoitin noin kuukausi sitten vakavasta tietosuojaongelmasta Klarnalla: Kuka tahansa, joka tiesi tai arvasi kenen tahansa mitä tahansa Klarnan palveluita käyttäneen (siis ei vain Klarna-tilin omaavia, vaan myös sellaisen, joka on ostanut jostain nettikaupasta jotain, joka käyttää Klarnaa maksun välitykseen myyjälle) sähköpostiosoitteen ja postinumeron, pystyi saamaan selville hänen kotiosoitteensa ja miltei kokonaisen puhelinnumeron. Asiasta nousi tuolloin asianmukainen kohu kirjoitukseni saattelemana.

Klarna ei ole vieläkään korjannut asiaansa ja tietosuojavaltuutettu on aloittanut tutkinnat tapauksen johdosta, epäillen Klarnaa Suomen henkilörekisterilain rikkomisesta. Klarna on muutenkin ollut asiasta tietosuojavaltuutetun hampaissa jo aiemmin ja sillä on myös monta muutakin hämärää hommaa Suomen viranomaisten kanssa tappelun alla.

Mutta keksin nyt erään seikan, joka jäi viimeksi kokonaan huomioimatta.

Mikäli henkilö ei ole suojannut tietojaan PIN-koodilla (kuten 99% asiakkaista ei ole, kun eivät edes tiedä olevansa Klarnan asiakkaita), voitte, saatuanne henkilön tiedot ruudulle, klikata henkilön tietojen alapuolelta "Muuta osoitetta". Voitte vaihtaa osoitteeksi minkä ikinä haluatte ja sitten valita maksumuodoksi "Laskun". No, kun paketti tulee haluamaanne osoitteeseen, esimerkiksi postilokeroon X, niin senkun käytte hakemassa sen sieltä ja pyyhitte mukana tulevalla laskulla ns. perseenne. Klarna tietenkin suuttuu, kun laskua ei kuulu - voitte arvata, keneltä se alkaa sitä seuraavaksi karhuamaan? Aivan, juurikin siltä ihmiseltä, jonka tiedot Klarnalla on (ollut), mm. nimen ja henkilötunnuksen jne. perusteella. Hän saa laskun tuotteista, joita ei tasan tarkkaan ole tilannut ja joutuu todennäköisesti viemään tapaukseen oikeuteen saakka - ja toivoa, että hän voisi tuurilla voittaa Klarnan.

Klarna siis sallii heidän asiakastiedoissaan olevien tietojen yksipuolisen muuttamisen, eli vaikka väärentämisenkin, eikä vaadi sitä varten oletuksena muuta kuin asiakkaan sähköpostiosoitteen ja postinumeron. Väärinkäytöspotentiaali on mielipuolinen. Ja asiakkaan kannalta erittäin kiusallinen, koska hän joutuu de facto kiistämään oikeusteitse tekemänsä ostokset - Klarnan voidessa vakuuttaa, että asiakasta on "kirjautunut omalle tililleen ja tehnyt ostoksen sieltä, joten hänen kuuluu maksaa lasku".

Tämän kaltaisen aivopierun kommentointiin ja haukkumiseen minulta ei enää riitä sanoja. Ei vain riitä. Ei pysty. Pää hajoaa jo tämän mielipuolisen välinpitämättömyyden vuoksi.

Tiedän, juu, joku voisi sanoa, että mutta voihan kaikkialta tilata väärällä nimellä mitä vain ja laskun kanssa. Aivan, juu, teoriassa voi, käytännössä ääret harvasta paikasta suostutaan lähettämään sinulle mitään laskulla, jos et ole vahvasti tunnistautunut ensin. Koska kauppiaat eivät ole idiootteja, kuten Klarna on. Lisäksi niissä tapauksissa kauppiaalla ei ole tietokannoissaan ketään toista ihmistä, joksi sinä silloin "tunnistaudut" ja joka saa syyt niskoilleen, toisin kuin Klarnan tapauksessa, joka linkittää tehdyt muutokset edelleen samaksi fyysiseksi henkilöksi ja syyttää tätä sitten petoksesta jne. Ero on siis huikea. Ja vaarallinen sekä kauppialle että Klarnan asiakkaille.

3 kommenttia:

  1. On selvää, ettei kenenkään tarvitse maksaa tuotetta, jota hän ei ole tilannut. Kuluttajan ei tarvitse viedä asiaa oikeuteen, vaan heidän tulisi olla mahdollisimman nopeasti yhteydessä Klarnaan, jotta voimme selvittää asian. Aloitamme välittömästi tutkinnan ja estämme mahdolliset uudet petosyritykset kyseisen henkilön tiedoilla.

    Kuvaamasi tilanne, jossa henkilö tilaa tuotteita toisen nimissä ja tiedoilla luvatta on rikos, jonka otamme erittäin vakavasti. Työskentelemme yhteistyössä poliisin kanssa petoksien käsittelyssä ja niiden estämiseksi ja päivitämme riskimalliamme jatkuvasti tämän perusteella. Myös yksittäisissä petostapauksissa yhteistyömme poliisin ja logistiikkayritysten kanssa on nopeaa ja tehokasta. Klarnan maksutavoilla tehtyjen petosten määrät ovat alhaiset.

    Suojaamme kuluttajaa ja verkkokauppaa petoksilta monilla eri tavoilla. Jos kuluttaja vaihtaa kuvaamallasi tavalla osoitetietojaan, teemme uuden riskiarvioinnin, joka perustuu yli 200 muuttujaan. Tällä riskiarvioinnilla varmistumme kuluttajan henkilöllisyydestä. Jos epäilemme väärinkäyttöä, on kuluttajan maksettava ostoksensa heti siihen soveltuvalla maksutavalla ennen tilauksen vahvistamista. Klarnan ja verkkokauppiaiden välisissä sopimuksissa on vaatimukset myös tuotteiden noudon osalta, jotta voidaan varmistua siitä, että tuotteen tilannut henkilö myös noutaa tuotteet tai että tuotteiden noutajalla on asianmukainen valtakirja.

    Ystävällisin terveisin

    Fia Klarnasta

    VastaaPoista
  2. "On selvää, ettei kenenkään tarvitse maksaa tuotetta, jota hän ei ole tilannut."

    Itse asiassa identiteettirikoksessa todistustaakka on uhrilla, joten turha väittää tuolla tavalla. Varmaan toki yritätte selvittää asiaa yhdessä poliisin kanssa, jos joku ilmoittaa, ettei ole tilausta tehnyt. Mutta mitenkä on asian laita sitten, jos tällaisia tapauksia alkaa tulemaan todella paljon? Ei teilläkään resursseja loputtomasti ole käytössä, saati sitten poliisilla

    VastaaPoista
  3. Pink Floydin poijjaat kuvassa : ).
    t. proghead

    VastaaPoista