Dansk netshop gemmer billedfiler af kunders pas i fem år

Illustration: Virrage Images/Bigstock
Det er guf for hackere, når netshoppen Proshop gemmer billeder af ID, mener IT-sikkerhedsekspert. Bestyrelsesformanden for netshoppen siger, at det er nødvendig praksis for at undgå identitetstyveri og svindel.

Når en kunde henter sine varer hos internethandlen Proshop, der forhandler elektronikvarer til hjemmet, bliver der ved samme lejlighed taget billeder af enten kørekort eller pas. Billedet lagres på virksomhedens servere i op til fem år.

Men det er ikke i orden, mener Anette Høyrup, seniorjurist i Forbrugerrådet Tænk.

Det skriver Berlingske.

Anette Høyrup ville selv være bekymret, hvis hendes egne oplysninger blev gemt hos en internetforretning i fem år, siger hun til Berlingske.

»Det er meget følsomme oplysninger, de indsamler.«

Læs også: Lektor i kriminologi: »Big data-samfundet er gået over gevind og er helt uigennemtænkt«

Udsættes virksomheden for hackerangreb, vil der dermed ligge en masse oplysninger om kunderne, som kan bruges af hackerne.

Peter Kruse, IT-sikkerhedsekspert fra CSIS, siger til Berlingske, at det særligt er problematisk, at Proshop skriver på deres hjemmeside, at billederne gemmes.

»Det er jo et tilbudsskilt at stille op, som hackerne kan kigge på.«

Bestyrelsesformand: Det er for at undgå svindel

Bestyrelsesformanden hos Proshop, Poul Thyregod, forsvarer lagringen af eksempelvis pas-billeder med, at der dels dækkes over de fire cifre i personnummeret, når billedet tages. Og så skal pasbilledet ifølge bestyrelsesformanden bruges til at undgå identitetstyveri og svindel. Proshop har ikke i sinde at ændre praksis, oplyser han.

Hos Proshop oplever de svindel for 1,6 millioner kroner årligt. Hvor meget af det, der sker ved afhentning, er der ikke oplysninger om.

Læs også: Datatilsynet: Opbevaring af bloddonorers fingeraftryk som bitmap-filer er ikke godt nok

At tage et billede af ID ved personlig afhentning har Ayo Næsborg-Andersen, ekspert i persondataret hos Syddansk Universitet, svært ved at se skulle forhindre svindel. Derfor undrer hun sig over, at det kun er ved den personlige afhentning og ikke ved levering, der bliver taget billeder. Foruden det kan hun ikke se, at Proshops praksis overhovedet er lovlig.

Poul Thyregod mener nu nok, at praksis er lovlig. Det har han tjekket via en telefonsamtale med Datatilsynet. Det er dog svært at bevise, for Datatilsynet noterer som udgangspunkt ikke samtaler af den karakter, oplyser Astrid Mavrogenis, jurist og kontorchef hos Datatilsynet.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (30)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Henrik Pedersen

Jeg har stukket Proshop en e-mail omkring hvordan de kan løse det her, og komme i compliance med data-lovgivningen og stadig beholde deres data omkring folk. Jeg har givet dem en komplet løsning, helt gratis, lige til at implementere for en hver IT-mand med en mellemlang uddannelse. Selvfølgelig er der faldgruber når det gælder sikkerhed, men det kan i hvert fald kun blive bedre end den model de beskriver her.

Anyway, vi har stået i præcis samme situation med en kunde, som Proshop står i nu.

Vores kunde udlejede biler, og ville gerne gemme kopi af billed ID i tilfælde af misbrug/tyveri/folk der løber for regningen. De havde en løsning hvor de gemte folks pas / kørekort DIREKTE i en Magento upload folder... AUCH! Det bad vi dem ærligt talt om at stoppe med øjeblikkeligt, og så skulle vi nok vise dem hvordan det skulle gøres....

Løsningen vi har implementeret er baseret på public-key kryptografi, og helt kortfattet bruger vi en privat og en offentlig nøgle, hvor kunden har gemt den private nøgle på et krypteret USB stik i et pengeskab, og den offentlige nøgle så ligger på serveren.

Serveren modtager brugernes billeder som normalt, men krypterer dem straks med en tilfældig 256 bit nøgle, og gemmer dem så i databasen. Nøglen krypteres med den offentlige nøgle og ligges i databasen ved siden af billedet.

Nu kan hverken brugere, administratorer, udviklere, hackere eller nogle andre få fat i billedet. :)

Hvis kunden får en svindelsag ind, har vi bygget dem et lille bitte isoleret system, hvor på de kan indlæse deres private nøgle, og et krypteret billede, og så få vist det originale billed ID igen. Dette system kører ikke på samme server, eller samme domæne eller samme login for den sags skyld, og nøglen gemmes ikke, og billederne som genereres outputtes direkte til browseren, endten som download eller som JPG.

Hvis der er nogle af jer kloge hoveder her inde som kan skyde den implementering ned er I velkomne, for så vil jeg straks få rettet vores system for kunden, uden beregning for kunden.
Jeg ved godt at vi har en masse forudsætninger, som f.eks. at den private nøgle forbliver privat (derfor nøglerotation), og at serveren ikke hackes og billedet stjæles ved upload (så har man større problemer anyway), at kryptering ikke er autentificering (derfor HMAC med shared secret for et vidst niveau af manipulations-modstandsdygtighed) og at RSA-4096 bit nøgler ikke kan brydes i den nærmeste fremtid... Men så er din banks SSL også fucked...

Det bedste er altid at gemme SÅ LIDT data som muligt, men i tilfælde som disse hvor man er nødt til at have billed ID "on file", synes jeg en public-key model med offline privat nøgle er fantastisk.

  • 10
  • 2
Morten Hartvig

Fine forslag, men nu ved du jo rent faktisk ikke hvordan det teknisk foregår. Du lyder som en der er meget hurtig til at like fake news på Facebook.

Desuden gemmer de kun dokumentation hvis man ikke betaler i butikken så vidt jeg ved (dvs. man kan blot vælge "betal i butik" i stedet for at placere en mistænkelig internet ordre til afhentning på xxx kreditkort.). Desuden foregår der noget tilsvarende i andre store virksomheder (f.eks. Elgiganten), så måske skulle diskutionen løftes til et højere niveau.

  • 1
  • 12
Kenn Nielsen
  • 12
  • 0
Henning Wangerin

Serveren modtager brugernes billeder som normalt, men krypterer dem straks med en tilfældig 256 bit nøgle, og gemmer dem så i databasen. Nøglen krypteres med den offentlige nøgle og ligges i databasen ved siden af billedet.

Nu kan hverken brugere, administratorer, udviklere, hackere eller nogle andre få fat i billedet. :)

Jeg har faktisk overvejet at bruge et tilsvarende setup, hvor der skal kunne gemmes person-henførbare informationer på en website hvor vi ikke har lyst til at de ligger i læsbar form på serveren.

Så jeg er også nysgerrig om der er nogen som har indevendinger mod en sådan løsning, eller ting man skal være ekstra opmærksomme på.

/Henning

  • 2
  • 0
Morten Christiansen

Der hvor det går helt galt i byen er måden det bliver opbevaret fra start, hvorfor i det hele taget tage et biled af et pas, og have liggende på digitalt medie der befinder sig online.

I tidligere dage hedes det papirarbejde: Gammeldags print/scanner som biblioteker altid har haft, og beder personen underskrive og arkiveret det i en boks, MV. opbevaringstid på 5år er langt fra overskredet da kriminalitet ofte opdages inden for kort tid.

Bare det at det ikke opbevares mere en 6mdr og ikke befinder sig online ville hjælpe dem selv en hel del, jeg forstår godt deres bekymring, men deres bekymring burde være støre hvis ikke de kan se det er et problem.

Jeg finder det svært at tro proshop har fået henvendelser der går længere end 6mdr tilbage, jeg ville jo nemt opdage hvis nogen misbrugte mine oplysninger, som jeg kan bede proshop om at hjælpe mig med inden for 6mdr, som er data som de kan udtrække og sørge for ikke forsvinder hvis jeg vil rapportere en anmeldelse,.

  • 4
  • 0
Morten Hartvig

@Morten Christiansen. Citat dig selv: "Der hvor det går helt galt i byen..."

Det er ret farligt at åbne op med en sådan indledning, når du hvad jeg kan se heller ikke har sat dig ind i sagens kerne. Hvor har du den viden fra, at disse billeder rent teknisk er tilgængelige online. Det står der ikke noget om nogen steder?

En anden god grund til at tage et billede (som også kan sammenføres med bl.a. videoovervågning), er at Politiet ikke reagerer synderligt positivt hvis man blot giver dem en tekststreng med nogle tal, og påstår det er X person der også fysisk har været i butikken og hapse for 20.000 DKK på det angivne tidspunkt (den holder ikke i retten). Det fungerer ikke i praksis at tænke som en programmør på denne opgave.

Problemet (og grunden til diskutionen) er, at panserne og den dømmende magt skal have noget håndgribeligt så personen kan holdes ansvarlig. Ville i f.eks. være tilfredse med, at (tænkt eksempel) H&M trækker jer i retten hvor eneste dokumentation for påstået svindel er en tro og love erklæring om at de har gemt et CPR nummer i tekstformat i en dastabase (og den 17 årige ekspedient selvfølgelig er helt sikker på, at de kan huske det var dig der stod der for 60 dage siden og stjal for 2000 DKK?

Anklager holder selv bevisbyrden, og derfor kan foto med billede/navn/fødselsdato + sammenkædning med overvågning i min verden være den bedste måde til at bevise, at det er den samme svindler/fysiske person der er tale om). Det giver trods alt lidt retssikkerhed.

Når der svindles for 1.600.000 DKK om året, så syntes jeg det er 100% fair (tænk lige på beløbet hvis der ikke var kontrol). Men pga. mængden af uærlige personer i DK, får vi jo allesamen 3d-secure påtvunget på dankortet ganske snart, så tak for det snyltere derude:)

  • 1
  • 0
Kenn Nielsen

Aha !

Såeh.. for lige at få det helt på det rene ; så er dét i laver ikke at gemme kørekort og pas fordi der måske kan komme problemer med betalingen for det netop udleverede, - men derimod fordi i vil indsamle og opbygge jeres helt eget forbryderalbum

Anklager holder selv bevisbyrden, og derfor kan foto med billede/navn/fødselsdato + sammenkædning med overvågning i min verden være den bedste måde til at bevise, at det er den samme svindler/fysiske person der er tale om).

Det giver trods alt lidt retssikkerhed.

Men kun for sælger, ser det ud til...

K

  • 2
  • 0
Morten Christiansen

@Morten Hartvig du skriver en mayonnaise oven på det som jeg hentyder til.

Artikel Citat:
Når en kunde henter sine varer hos internethandlen Proshop, der forhandler elektronikvarer til hjemmet, bliver der ved samme lejlighed taget billeder af enten kørekort eller pas. Billedet lagres på virksomhedens servere i op til fem år.
slut på Citat

Det står på de første to linjer i hele artiklen, vil du kalde det offline når det liger på en server, så vidt jeg ved kræver en server minimum en gateway.

jeg siger ikke det er en dårlig ide at tage bevisbyrde, der findes et gammelt analogisk system som har været brugt i mange år, hvis du havde læst at jeg har skrevet (Print/Scan/underskrift) nøjagtig som det gamle sagsbehandler system.

Jeg vil sige du ikke læser efter hvad jeg skriver, og som sagt om overvågning, kan de med helhed sammenkædes med købsdato så vel som dokument, det skal bare ikke være på en server i mine øjne.

hvis du misforstår den en gang til, så læser du som fanden læser biblen, og så har jeg sgu ikke i sinde at bruge min tid på dig.

  • 1
  • 0
Kenn Nielsen

Hvad er der nyt i denne artikel, i forhold til artiklen fra Torsdag i sidste uge?

Ikke meget, men det ser dog ud til at denne "reprise" har provokeret input fra nogen som har en idé om hvad der foregår i proshop.

Det er ikke fordi jeg har bildt mig ind at mit kørekort ikke er kompromitteret, så snart 'de' tog deres første billede af det ved udlevering.

Og fedt skal det hjælpe, at de først for nyligt er begyndt at dække over de sidste 4 cifre i CPR...

Men - som kunde - er det dybt problematisk, at de tager et billede af mit kørekort, med den falske antydede begrundelse, at det sker for at sikre korrekt udlevering, og ikke - som virkeligheden er - ; indsamling at 'mugshots' til en database, der sandsynligvis benyttes til at udveksle/bytte identiteter, erhvervsdrivende imellem.

Hvad er sikkerheden lige dér ?

K

  • 0
  • 0
Gert Madsen

Når der svindles for 1.600.000 DKK om året, så syntes jeg det er 100% fair


Hvis det handler om promiller, så er det da ikke.
Hvor højt ville det være, hvis man forlangte legitimation FOREVIST ?
Det vil ikke kompromittere deres kunder.

Når Poul Thyregod påstår at det "bruges til at undgå identitetstyveri", så er det jo helt hen i vejret. Identitetstyveri sker, når andre får fat i ens legitimation. En risiko, som netop øges med ProShops indsamling.

Jeg skal i hvert fald ikke handle i den butik.

  • 3
  • 0
Henrik Madsen

Hvis jeg syntes svindel var et problem for min forretning, så ville jeg nok välge den enkleste lösning: Ikke at tilbyde "betale på nettet (med stjålet kreditkort) med afhentning i butikken", en model som nästen inviterer til svindel.

Enig.

Mit gæt er at de gør det alligevel fordi de gerne vil have betaling for så er de lidt mere sikre på at de ikke reserverer en vare til en som så aldrig kommer og henter denne.

Men det ER et problem som Proshop selv har valgt de vil have og derfor er det ikke rimeligt at kunderne skal "bløde" for det.

Det er jo lidt ligesom med fotovognene.

Man indfører et system som gør det svært at identificere lovovertræderen og så slækker man bare på retskravene (uskyldig til modsatte er bevist) selvom den rigtige løsning hvis man har problemer med identifikation selvfølgelig er at stoppe bilerne og bede dem som overtræder loven om at identificere sig

  • 2
  • 0
Martin Sørensen

Jeg kan ikke se problemet i at de afkræver verifikation med kreditkort ved afhentning så de kan se om det matcher det kort der er betalt med. Det svarer lidt til når jeg checker ind på et hotel - selv om jeg har betalt online så vil de typisk gerne have mit kreditkort alligevel.
Her for ikke så længe siden havde jeg bestilt og betalt noget på Hifi-klubbens hjemmeside. Da jeg så fik besked på at jeg kunne afhente det, så skulle jeg blot oplyse mit navn og så kunne jeg gå afsted med varen. Det virkede lidt underligt at de ikke ville se nogen beviser på hvem jeg var. At gemme et ID i 5 år er lidt rigeligt, men at checke ID som når man henter en postforsendelse synes jeg er rimeligt.

  • 0
  • 0
Mikkel Nielsen

Interessant løsning, men med et par udfordringer.

Først de gode elementer:
- Det er en løsning på hvidvaskningsproblemet (ved køb for over kr. 5000 skal sælger se og opbevare legitimation)
- Den løser en af GDPR udfordringerne; sikker opbevaring af data.

Umiddelbare mangler:
- En automatisk kassations politik så legitimationen ikke opbevares længere end den må. Det svære ved kassation er at det også gælder for backup, det er ikke nok at dit produktionsmiljø et slettet for data.
- En simpel metode for kunden til at kunne se egne data (også GDPR element). Her kunne du overveje at benytte en kunde nøgle i stdet for en tilfældigt genereret nøgle. - og så i øvrigt bruge kundens nøgle til signering af kundens øvrige data.

  • 0
  • 1
Bjarne Nielsen

En automatisk kassations politik så legitimationen ikke opbevares længere end den må. Det svære ved kassation er at det også gælder for backup, det er ikke nok at dit produktionsmiljø et slettet for data.

Hvis de nøglepar, som krypterer den tilfældige nøgle rulles jævnligt, og iøvrigt løbende bortskaffes efter et fornuftigt antal rul, så er det sådan set lige meget, hvor mange kopier af data, som findes. Ingen nøgle, ingen adgang.

  • 0
  • 0
Henrik Biering Blogger

(Supplerende til Gert Madsens indsigelse:) Hvor har du det krav fra? Bortset fra §5, der begrænser kontanthandler til max. 50.000 DKK, er det kun finansielle virksomheder samt advokater, revisorer og ejendomsmæglere, spiludbydere og lignende, der er omfattet af loven om hvidvask.

Derimod har NETS begrænsninger over for butikker mht betalingssgaranti (se punkt 5), der afhænger af en række faktorer. Det kan dels gøre det opportunt for butikken at kræve lokal betaling afhængigt af beløbsstørrelsen og at kræve udvidet legitimation ved køb udover NETS betalingsgaranti. Fra NETS side er kravet om forevisning af legitimation uafhængigt af beløbsstørrelsen, men skal kræves "hvis der er tvivl om hvorvidt det er kortholder selv, der ejer det anvendte Dankort"

  • 1
  • 0
Mikkel Nielsen

Betaler du mad andet end kontanter eller et debit-kort falder din transaktion ind under hvidvaskningslovens bilag 1:
1) Modtagelse af indlån og andre tilbagebetalingspligtige midler

Dermæd må Hvidvaskningslovens pgf. 10 gælde:
Virksomheder og personer omfattet af denne lov skal gennemføre kundekendskabsprocedurer, jf. §§ 11-21, når
1) de etablerer en forretningsforbindelse, en kundes relevante omstændigheder ændrer sig, og i øvrigt på passende tidspunkter,
2) de udfører en enkeltstående transaktion på
a) mindst 15.000 euro, hvad enten transaktionen sker på én gang eller som flere transaktioner, der er eller ser ud til at være indbyrdes forbundet,
b) mere end 1.000 euro i form af en pengeoverførsel, hvad enten transaktionen sker på én gang eller som flere transaktioner, der er eller ser ud til at være indbyrdes forbundet, eller
c) 500 euro eller derover ved valutaveksling, hvad enten transaktionen sker på én gang eller som flere transaktioner, der er eller ser ud til at være indbyrdes forbundet,
3) de i forbindelse med udbud af spil modtager indsatser, udbetaler gevinster eller begge dele på mindst 2.000 euro, hvad enten transaktionen sker på én gang eller som flere transaktioner, der er eller ser ud til at være indbyrdes forbundet,
4) der er mistanke om hvidvask eller finansiering af terrorisme, uanset at betingelserne i nr. 2 og 3 ikke er opfyldt, eller
5) der er tvivl om, hvorvidt tidligere indhentede oplysninger om kundens identitet er korrekte eller tilstrækkelige.

Pgf 4 åbner for at en detailkæde selv (f.eks. elgiganten) kan vælge et vilkårligt, administrativt praktik, beløb, lavere end 1000€.

  • 0
  • 1
Henrik Biering Blogger

Betaler du mad andet end kontanter eller et debit-kort falder din transaktion ind under hvidvaskningslovens bilag 1:
1) Modtagelse af indlån og andre tilbagebetalingspligtige midler

Nej, modtagelse af betaling via Dankort eller lignende er ikke finansiel virksomhed og der er jo netop i denne tråd tale om almindeligt varekøb hvor butikken ikke yder forbrugeren indlån eller deponering af tilbagebetalingspligtige midler. Det er der derimod typisk i forholdet mellem forbrugeren og dennes bank eller betalingstjeneste.

  • 2
  • 0
Mads T. Jensen

"- Hvis nu jeg var teoretiker og havde en ph. d. og aldrig havde været ude i det virkelige liv, ville jeg sikkert mene, at kunden har identifi-ceret sig rigeligt. Men faktum er, at folk bliver frækkere og bedre til at snyde, og det prøver vi at undgå. Jeg står gerne skoleret i denne sag. Jeg mener ikke, der er noget at komme efter, siger Poul Thyregod. "

Kilde: retailnews.dk

  • 1
  • 0
Asger AS

Jeg gjorde proshop og datatilsynet opmærksom på lige præcis dette problem i juni sidste år. Der har jeg en email fra en stud.jur fra proshop, som lover mig at lave deres procedure om. Den gang gemte de oplysningerne i 10 år!
Jeg bad om at få mine data fjernet. Det sagde de at de ville gøre, så det håber jeg da på de har gjort - på trods af at jeg tvivler..

  • 1
  • 0
Peter Jensen

Hvis de vil vide hvem de udleverer varer til så kan de få lov til at SE billedlegitimation så de ved hvem de udleverer til, og IKKE tage en fotokopi af de for dem uvedkommende personfølsomme legitimationsdokumenter.

Hvordan kan nogen være så dum at handle hos et firma på sådanne latterlige og tilsyneladende ulovlige betingelser? Jeg ville aldrig handle hos Proshop på sådanne ulovlige og krænkende betingelser.

Og hvis Proshop gør noget ulovligt, så skal de da bare anmeldes til Politi og Datatilsyn aldeles omgående af alle. Jeg håber da at folk altid automatisk anmelder de firmaer der ulovligt registerer deres personfølsomme data.

  • 1
  • 0
Cristian Ambæk

Hvis der er nogle af jer kloge hoveder her inde som kan skyde den implementering ned er I velkomne, for så vil jeg straks få rettet vores system for kunden, uden beregning for kunden.

Så vil du skulle stille flere informationer til rådighed, men umiddelbart at du siger følgende

Serveren modtager brugernes billeder som normalt, men krypterer dem straks med en tilfældig 256 bit nøgle, og gemmer dem så i databasen. Nøglen krypteres med den offentlige nøgle og ligges i databasen ved siden af billedet.

og

har vi bygget dem et lille bitte isoleret system

så begynder jeg at "se" muligheder for ondsindet aktivitet, men igen det kommer an på hvordan tingene er skruet >>sammen<< aka more info.

  • 0
  • 0
Peter Christiansen

Hvis der er nogle af jer kloge hoveder her inde som kan skyde den implementering ned er I velkomne, for så vil jeg straks få rettet vores system for kunden, uden beregning for kunden.

Rigtig god metode, rart at se noget anden de idiot metoder man møder, hvor den private nøgle er lagt på serveren, for "man skal jo have lov til at se billederne i browseren igen".

Thumbs up

  • 0
  • 0
Log ind eller Opret konto for at kommentere