Dansk Supermarked vil datamine hash-værdien på din Føtex-kvittering

Selskabet bag Netto, Bilka og Føtex overvejer at bruge den unikke nøgle, der er i dag koblet med kvitteringer, til at måle værdien af kampagner.

Når du handler ind i Føtex, Netto eller Bilka, bliver der - som flere andre steder - genereret en unik værdi ud fra kortnummeret på dit plastickort. Og den værdi vil Dansk Supermarked, der står bag førnævnte butikskæder, gerne bruge til at analysere købsdata.

Som Version2 forleden kunne fortælle, tilbyder Nets - der som bekendt står bag en væsentlig del af den danske betalingsinfrastruktur - en service, der knytter en unik værdi til kvitteringsdata. Altså oplysninger om, hvad der faktisk er købt.

Den unikke værdi er blevet til ved at køre kortnummeret gennem en hash-algoritme, det vil sige en funktion, så det oprindelige kortnummer ikke umiddelbart kan genskabes. Det sker af sikkerhedshensyn.

Læs også: Sådan fungerer Nets' setup til håndtering af digitale kvitteringer

Den genererede hashværdi er dog stadig unik for det enkelte kort, og det gør udbydere af digitale kvitteringstjenester, som danske Storebox, i stand til at opsamle og udlevere informationer fra supermarkedsforbrugernes kvitteringer.

Dansk Supermarked har også kvitteringsdata liggende med en tilknyttet hash-værdi, der altså identificerer det enkelte kort, som en kunde har anvendt i forbindelse med et køb. Og det er der potentielt muligheder i - set fra et salgsoptimeringssynspunkt.

»Vi har hashværdien liggende sammen med bonen. Men det er ikke noget, vi bruger i dag. Det er noget, vi gerne vil bruge på sigt,« fortæller funktionschef i Dansk Supermarked Kim Kraglund.

Eksempelvis kan Dansk Supermarked bruge hashværdien til at registrere, i hvor høj grad en kampagne for letmælk trækker nye kunder ind en forretning. Altså ved at se på, om der optræder en ny hashværdi på en bon med letmælk i den konkrete butik.

»Vi kan ikke binde værdien sammen med et navn eller en kunde, men vi kan se, at det samme kort er blevet brugt, og så kan vi måske lave nogle analyser på, hvor godt vores promotions og andre ting fungerer,« siger Kim Kraglund.

Kigger i kvitteringsdata i dag

I dag kigger Dansk Supermarked allerede i kvitteringsdata, dog uden at anvende hash-værdien. Derimod bruger virksomheden blandt andet dataene til at se, hvilke varetyper der bliver købt sammen.

»Vi har selvfølgeligt nogle databaser, hvor vi kan lave segmenteringsanalyser på bonnerne. Det vil sige, se på, hvad kunderne køber sammen med letmælk og andre produkter,« siger Kim Kraglund og fortsætter:

»På den måde kan vi blandt andet se, hvordan vi bedst muligt kan sammensætte varerne i reklamer og andre steder. Men det er baseret på anonyme kundedata.«

Og da data er anonymiserede, er der ifølge Kim Kraglund heller ikke nogen juridiske problemer forbundet med at anvende eller registrere kvitteringsdata på den måde, som Dansk Supermarked gør i dag.

Læs også: Privacy-bekymring over privat virksomheds indsamling af kvitteringsdata

»Når vi ikke kan forbinde det til personer, så er der ikke problemer i at bruge det. Vi bruger ikke noget som helst, der er personhenførbart,« siger Kim Kraglund.

Hvad det juridiske angår, er Dansk Supermarked i øvrigt forpligtet til at opbevare boner i et år plus indeværende år, oplyser funktionschefen.

Ud over planerne om at analysere købsadfærd ud fra hash-værdien forestiller Kim Kraglund sig også, at det længere ude i fremtiden kunne være interessant at koble købsadfærden til den enkelte og faktiske kunde. Altså så der ikke længere er tale om anonyme data.

»Selvfølgelig vil disse oplysninger på sigt være interessante at sætte sammen i forhold til loyalitet, Big Data-analyse osv. Men alt sammen på sigt. Og under alle omstændigheder - og det ligger os kraftigt på sinde - så skal brugeren godkende, hvis vi skal bruge deres data,« siger han.

Dansk Supermarked har samarbejde med virksomheden Storebox, der tilbyder en tjeneste, så kunder kan gå på nettet og se deres kvittering digitalt efter et køb.

I den forbindelse har Dansk Supermarked en aftale med Storebox om, at kvitteringsvirksomheden ikke må analysere på de bon-data, der bliver sendt til virksomheden, fortæller Kim Kraglund.

»Data bliver sendt til Storebox, hvis man som person selv har godkendt det. Og data vil ikke blive brugt til analyseformål, men udelukkende til brug for den enkelte kunde,« siger han.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (77)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Thomas Hedberg

Folk griner når jeg hæver penge til at handle for, men dette er grunden.

Hvis jeg ikke husker helt fejl, så indtaster man navn og adresse hvis man bruger det samme kort på bilka.dk. Jeg mindes også det er meget normalt at skrive det ind på bon'er m.m. i forbindelse med reklamationer, tilbagebetalinger, prisfejl osv, så de får jo masser af data så de kan forbinde data til personer.

Jeg er skeptisk.

Jens Beltofte

Hvis jeg ikke husker helt fejl, så indtaster man navn og adresse hvis man bruger det samme kort på bilka.dk. Jeg mindes også det er meget normalt at skrive det ind på bon'er m.m. i forbindelse med reklamationer, tilbagebetalinger, prisfejl osv, så de får jo masser af data så de kan forbinde data til personer.

Så må man undgå at købe online hos de supermarkeder eller butikker, hvor man også handler offline. Simpelthen for at undgå, at de kobler offline køb sammen med ens navn, adresse m.m. fra online køb. I forhold til reklamationer m.m. hvor man skal udfylde navn, adresse m.m, så kan man sikkert skrive noget ulæseligt eller en fiktiv adresse. Har aldrig oplevet at de kræver ID til validering af de skrevne informationer.

En anden ting. Hvis de skal koble dine offline køb med personlige data fra online køb, vil det så ikke kræve at de har samme kort-nummer hash fra begge salgssteder? Hvis deres online butik ikke er PCI-certificeret og de ikke selv håndterer kort transaktionerne, har de vel heller ikke adgang til det fulde kort-nummeret og kan lave en hash der matcher offline hashen. Alternativt skal de så bruge en betalingsgateway der udveksler kortdata med Storebox hvis en sådan findes....

Peter Jensen

I forhold til reklamationer m.m. hvor man skal udfylde navn, adresse m.m, så kan man sikkert skrive noget ulæseligt eller en fiktiv adresse. Har aldrig oplevet at de kræver ID til validering af de skrevne informationer.


Der er ofte en meget stor forskel på hvad firmaerne finder på at kræve af kunderne og så hvad loven rent faktisk siger.

Ud fra Persondatalovens §5, så tvivler jeg meget stærkt på at et firma lovligt kan afkræve personoplysninger af kunden ved en reklamation, eller ved refundering, for et anonymt kontant køb i en fysisk butik. Der er for mig at se ingen saglig grund til at kende identiteten på denne type kunde - og derfor bør man nægte at oplyse den.

Jesper Lund

Lur mig, om ikke hashværdien i kyndige hænder, kan generere et kortnummer.

Selvfølgelig kan hash -> kortnummer reverses (hvis du kender salt), endda ret nemt, men for Dansk Supermarked handler det om at genkende kunden fra køb til køb. Her gør det INGEN forskel whatsoever om Dansk Supermarked har adgang til det fulde kortnummer, eller et saltet hash af kortnummeret, sålænge salt ikke ændres mellem hvert køb. Og det gør denne salt ikke.

I forhold til det som § 85 skal begrænse, nemlig opbygning af købsprofiler, gør det ingen forskel om butikken bruger kortnummer eller hash heraf. Citat fra bemærkningerne til § 85

Lovforslaget indeholder en udtømmende angivelse af, til hvilke formål der kan ske behandling af oplysninger om, hvor betalingsinstrumenterne har været anvendt, og hvad der er købt. Formålet er at sikre, at sådanne oplysninger ikke benyttes for eksempel til opstilling af forbrugsprofiler og kortlægning af brugernes forbrugsmønstre.

Hvis Dansk Supermarked har mit kortnummer, kan de sammenkæde mine køb til en profil, og de kan genkende mig i butikken. Til eventuel målrettet markedsføring, fx mersalg. De kan ikke udtrække mit navn fra et kortnummer, og til markedsføring i en butik er mit navn i øvrigt totalt irrelevant.

Hvis Dansk Supermarked har mit hashede kortnummer, kan de sammenkæde mine køb til en profil, og de kan genkende mig i butikken. Præcist det samme.

Det handler om linkability.

Niels Elgaard Larsen

Man skal ikke være ret kyndig for at finde kortnummeret ud fra hashværdien, hvis man man kender hash-funktionen (hvad Dansk Supermarked vel gør).

Der er 16 cifre i et kortnummer. VISA/Dankort starter med "4571", Dankort med "5019". De næste 4 cifre identificerer banken (og der er ikke 10000 banker). Der er også et checkciffer.

Så hvis man kører hashalgoritmen igennem et par millioner gange, har man kortnummeret for alle hashværdier, der hører til VISA/Dankort og Dankort.

Det kalder jeg ret personhenførbart. Eftersom DS nok ikke offentliggør deres algoritme, kan man vel sige at de bare krypterer kortnumrene og påstår, at så er de ikke længere personhenførbare.

Bjarne Nielsen

Man skal ikke være ret kyndig for at finde kortnummeret ud fra hashværdien, hvis man man kender hash-funktionen (hvad Dansk Supermarked vel gør).

Et godt grafikkort kan vel regne omkring 100M til 1G SHA-256 hashes i sekundet (sagde den side, som jeg googlede mig frem til, og hvis det findes på 'nettet, så passer det!). Det er derfor ingen sag at gætte et hashet kortnummer (eller for den sags skyld, alle hashes for danske kortnumre).

Men du skal ikke kun gætte kortnummeret. Du skal også gætte saltet. Det er nemlig begge dele, som indgår i hashen. Og hvis de ikke er overordentligt inkompetente til at vælge, distribuere og hemmeligholde saltet, så gør det opgaven ganske upraktisk. Jeg ville finde noget bedre at bruge min computer til...!

Niels Elgaard Larsen

Jeg skrev ikke, at du kunne gøre det. Jeg skrev at Dansk Supermarked kunne gøre det.
Jeg antog, at de bruger noget bedre end SHA, men her giver jeg dem måske for meget kredit.

Salt hjælper ikke rigtigt. Hvis de kan holde saltet hemmeligt og sikre at det ikke misbruges, kunne de lige så godt spare sig hashingen og bare holde kortnumrene hemmelige og sikre, at de ikke misbruges.

Finn Christensen

...problemet/risikoen stor nok til at begrunde besværet med at skulle hæve og gå rundt med kontanter?

Hvilket problem, risiko og besvær er der.. ?

Jo jeg kan se tre..
1. Banker mfl. kan snage i dit liv, og sælge oplysningerne til alle 'partnere'.
2. Staten kan følge dig overalt fra morgen tidligt og til du sover ind.
3. Nets ved alt om dig, og som vist her sælger de hvad som helst til hvem som helst.

De tre nævnte har nogle fæle ridser i lakken mht. troværdighed.

Så ærlig talt (som Thomas Hedberg) er det er en daglig glæde at eje rigtige menneskepenge, der kan bruges selv i en ussel vrå, hvor plastic kommer til kort ;)

Povl H. Pedersen

Hashværdien kommer direkte fra betalingsterminalen, det ligger i softwaren fra Nets. Kortnummeret er saltet med et hemmeligt salt, på mindst 32 byte = 256-bit (kender ingen nøgler og dermed ikke entropy). Hvis denne bliver kendt, så skal den skiftes i alle betalingsterminaler.

Med 256-bit, så tager det lidt tid at reverse engineer saltet.

For når først det første salt er knækket, så forlanger PCI nok en ændret algoritme med unikt salt per terminal eller transaktion.

Men et kortnummer er vel ikke mere hemmeligt end et CPR nummer. Man kan konstruere alle på få sekunder i et for-loop, men uden tilhørende yderligere info er det ubrugeligt.

Jesper Lund

Dansk Supermarked kender ikke salt-værdien til hashværdien, så det kan ikke bruges til at tjekke kort-nummer.

Andre kender hashværdien, fx de mange firmaer som åbenbart udbyder services med digitale kvitteringer m.v. De får hashværdien fra Nets og oplysninger om købet fra butikken.

Og Nets kender den selv, i sagens natur. Der bliver med disse systemer opsamlet flere data (købsdata), som kan henføres til en bestemt person. Alene det er en helt unødvendig sikkerhedsrisiko. Det er galt nok med de oplysninger som ansatte i Nets og deres eventuelle tystys-kontakter i dag har adgang til, jf. den tidligere Nets-dataskandale. Nu gør vi klar til den næste Nets-skandale, som bliver meget større fordi tabloidmedier vil kunne få oplysninger om hvor meget rødvin folketingsmedlemmer køber.

Hvis vi holder os til Data Supermarkeds "business intelligence" datamisbrug, er kortnummeret en oplysning, som Dansk Supermarked ikke har behov for at kende. Deres ønsker om at sammenkæde de enkelte køb til profiler af kunderne, og genkende kunden i butikken, kan ligeså godt opfyldes med et saltet hash af kortnummeret som selve kortnummeret. For Dansk Supermarked er der intet informationstab ved kun at have et saltet hash.

At lave købeprofiler af kunderne er godt nok det som § 85 i lov om betalingstjenester eksplicit forbyder, så hvordan Dansk Supermarked kan mene at dette er lovligt, er mig en gåde..

Jesper Lund
Formand, IT-Politisk Forening

Jesper Lund

Men et kortnummer er vel ikke mere hemmeligt end et CPR nummer. Man kan konstruere alle på få sekunder i et for-loop, men uden tilhørende yderligere info er det ubrugeligt.

Selvfølgelig er et kortnummer ikke hemmeligt. Nets skriver kortnummeret på alle kort, og med de nye "fantastiske" kontaktløse kort, kan kortnummeret aflæses trådløst af elektronisk udstyr på flere meters afstand (med de rette antenner).

Og hashing beskytter ikke på nogen måde (teknisk) mod at kortnummeret bruges til at sammenkæde den enkelte kundes køb til profiler, det som § 85 i lov om betalingstjenester eksplicit forbyder.

Steen Thomassen

"sikker" betyder i denne sammenhæng sikker mod hashkollisioner, ikke? Det er uden betydning her.


Så vi mere ude i om servicen med kvitteringer skal være der eller ej og om det må bruge hash-værdien til deres (og andre) analyse af bon-data. Teknisk har de valg noget som er godt nok, hvis man vil have det. og det er indbygget funktion som de store kreditkort selvskaber som Mastercard og Visa har designet funktionerne til (tak for at version2 skrive de her artikler for at få det frem i lyset). Det var den teknisk vinkel jeg have fokus på.

Jesper Lund

Så vi mere ude i om servicen med kvitteringer skal være der eller ej og om det må bruge hash-værdien til deres (og andre) analyse af bon-data. Teknisk har de valg noget som er godt nok, hvis man vil have det. og det er indbygget funktion som de store kreditkort selvskaber som Mastercard og Visa har designet funktionerne til (tak for at version2 skrive de her artikler for at få det frem i lyset). Det var den teknisk vinkel jeg have fokus på.

Ja, "sikker" handler om at beskytte Nets og bankerne mod at kortnummeret opsnappes, eller nemt brute-forces ud fra hashværdien, af en (kriminel) tredjepart som får adgang til de data som opsamles.

Men "sikker" handler IKKE om at beskytte forbrugerne mod at deres køb overvåges. Denne overvågning er tværtimod en feature, som Visa og Mastercard aktivt udnytter i andre lande, specielt USA hvor persondata er en handelsvare hos databrokers.

I forhold til hvad Visa og Mastercard går og laver i andre lande, er der i Danmark den finte at vi har § 85 i lov om betalingstjenester, som forbyder brug af oplysninger om betalingskortet til at skabe købsprofiler af den enkelte kunde (ved at sammenkæde køb).

En tilsvarende bestemmelse findes ikke nødvendigvis i andre lande, hvor Visa/Mastercard opererer. § 85 er ikke baseret på EU-lovgivning, så man kan ikke gå ud fra at hele EU har denne beskyttelse, og § 85 giver en beskyttelse som går udover persondataloven. Lidt ligesom e-privacy direktivet, i virkeligheden.

Steen Thomassen

@Jesper Lund

Andre kender hashværdien, fx de mange firmaer som åbenbart udbyder services med digitale kvitteringer m.v. De får hashværdien fra Nets og oplysninger om købet fra butikken.


Hashværdien kommer ikke fra Nets. Det dannes i chip i terminalen. Jeg er mere interesseret i hvordan udbyder services med digitale kvitteringer m.v. håndtere det. Hvordan håndteres salt? Er det noget sikkerhed her? Kunne det forbedres ved fx kryptere data, så det kun er kortholder, som kan åbne det. Desværre er det ikke en ren dansk emne, men noget som skal kigges på internationalt. Jeg vil give ret i at kortnummer som adgangskode til data er lige lavt nok sikkerhed.

Og Nets kender den selv, i sagens natur. Der bliver med disse systemer opsamlet flere data (købsdata), som kan henføres til en bestemt person.


Nets får ikke hashværdien. Men en tystys-kontakt kunne give en journalist et kortnummer.... med et hint om hvor der er handlet (hvor der er kvitteringsservice)... men det kræver stadig flere led for at få fat i de data.

Jesper Lund

Nets får ikke hashværdien. Men en tystys-kontakt kunne give en journalist et kortnummer.... med et hint om hvor der er handlet (hvor der er kvitteringsservice)... men det kræver stadig flere led for at få fat i de data.

I forhold til tystys-kilde sager, er det svage led i kæden de firmaer som modtager og opbevarer kvitteringer sammen med et hashet kortnummer, ikke Nets direkte. Du skal bruge et afluret kortnummer (mange muligheder) og en villig kontakt hos et af disse kvitteringsfirmaer.

Når tystys-kilden kan være hos flere forskellige firmaer, kan det blive sværere at opklare disse sager i fremtiden. Tabloidpressen fik også oplysninger om flyrejser for visse kendisser, så vidt jeg husker den kongelige familie. Kom disse oplysninger fra Københavns Lufthavn (*), flyselskaberne eller SKAT der får kopier af passagerlister og endda har direkte adgang til bookingsystemerne hos SAS? Who knows, det blev så vidt jeg husker aldrig opklaret.

(*) CPH benægtede, så vidt jeg husker, at de har adgang til passagerlister, hvilket lyder plausibelt.

Thomas Hedberg

Endelig én der vægter risiko over for indsats! Jeg er også bekymret om privacy men man bliver nødt til at stille sig selv ovenstående spørgsmål, ellers skyder man gråspurve med kanoner.

Det er netop pga. en risiko vurdering der gør at jeg ofte benytter kontanter, men du havner bare på et andet resultat hvilket er helt fair.

Jeg har f.eks medtaget et parameter omkring tilgængelig på vores betalings systemer, og da de nogle gange er nede så har jeg altid lidt kontanter så hele verden ikke behøver gå istå imens personalet fumler med offline-tilstand på automaterne.

Derudover så er jeg bekymret over at firmaer breder sig over mange forretnings områder - bare se på Coops forsøg på at lave bank og forsikring. Der skal ikke meget fantasi til for at se en ambitiøs samkøring af data der giver rabat på forsikringen på dem der handler mest grønt og køber du mere end 2 liter cola om ugen bliver du afvist som potentiel kunde i forsikrings afdelingen.

Jeg kan stadig huske Coop (eller hvad de hed dengang) lovede anonymisering af køb på deres medlemskort og kort efter stod de stolt frem og fortalte de havde kunne hjælpe politiet med at udpege en voldtægtsforbryder som havde købt et eller andet kemikalie (misforstå mig ikke - det var godt han blev fanget, men Coop løj tilsyneladende om anonymiseringen af data).

Christian Schmidt

Du skal bruge et afluret kortnummer (mange muligheder) og en villig kontakt hos et af disse kvitteringsfirmaer.


Du behøver ikke engang en villig kontakt - et afluret kortnummer er tilstrækkeligt.

Som beskrevet i min kommentar til en tidligere artikel foretager kvitteringstjenesten ikke nogen kontrol af, at du er kortets retmæssige ejer, når du tilmelder dig (det gjorde de i hvert fald ikke for et år siden).

Niels Elgaard Larsen

Hvis NETS virkelig har een hemmelig 32 byte-værdi, som de bruger i alle hashes, så er det ikke hvad man forstår ved "salt".

Hvis der er tale om samme slags hashing, som NETS beskriver på:
http://www.betalingsterminal.no/Netthandel-forside/Teknisk-veiledning/Ov...

så er det jo ret klart at hashingen ikke (altid) sker i terminalerne, og at NETs mapper hashes tilbage til kortnumre.
fx "The Merchant will also be given the hash, and can use this hash in future payments to charge the card holder, without the need for card Holder interaction.". Hvis de kan trække penge fra min bankkonto, så er jeg jo nok ikke helt anonym.

Bjarne Nielsen

Al den snak og ingen har nævnt at en hashværdi per definition ikke er unik?

Ehrm, så lad os regne på det.

Hvis vi antager 2^37 mulige kortnumre (og de er næppe alle i brug), så er sandsynligheden for en kollision ca. 2^-183 eller omkring 8e-56 (kig efter approximationer for "birthday attacks", hvis du vil vide hvordan det resultat kom frem).

Det er et meget lille tal. Så selvom det teoretisk er muligt, så har det vist ikke nogen praktisk betydning.

Jørgen L. Sørensen

Citat fra artiklen:
»Data bliver sendt til Storebox, hvis man som person selv har godkendt det. Og data vil ikke blive brugt til analyseformål, men udelukkende til brug for den enkelte kunde,« siger han.

Men i en mailkorrespondance skriver en advokat følgende svar for Dansk Supermarked:
"Sp. 2d:
Hvornår og hvorledes giver kunderne i givet fald accept af, at disse oplysninger overføres til en ekstern part?

Det sker ingen steder, da der ikke overføres personfølsomme oplysninger til Kvittering.dk og kortdata overføres krypteret."

Jeg stoler nok mest på advokaten i dette tilfælde --- desværre. Vi skal derfor nok regne med at data overføres til et eksternt firma uanset om vi ønsker det eller ej.

Jesper Lund

Men i en mailkorrespondance skriver en advokat følgende svar for Dansk Supermarked:
"Sp. 2d:
Hvornår og hvorledes giver kunderne i givet fald accept af, at disse oplysninger overføres til en ekstern part?

Det sker ingen steder, da der ikke overføres personfølsomme oplysninger til Kvittering.dk og kortdata overføres krypteret."

Det sidste er noget vrøvl. Der er tale om persondata, altså information vedrørende en identificeret eller identificerbar person. På dansk: kom med dit kortnummer, så kan man se hvad du har købt. At oplysningerne overføres krypteret gør dem ikke mindre personhenførbare.

Men jeg er enig i at der mange forklaringer og oplysninger fremme, og at de ofte er i indbyrdes modstrid. Man kunne godt få mistanke om, at nogle aktører har en interesse i at skjule hvad der reelt foregår med vores købsdata, når vi bruger de moderne digitale betalingsmidler.

Jesper Lund

Kan der være tale om at kun nogen korttyper har disse flotte "muligheder"? Fx at det kun er VISA og Mastercard der gør dette? Så kunne man måske få nogen andre kort.

Nu sidder Dankort, Visa og Mastercard på stort set hele kortmarkedet i Danmark (*), og jeg har set den kontaktløse feature blive omtalt i forbindelse med alle tre korttyper. Dermed ikke sagt at der kan være banker, som vi tilbyde deres kunder et Visa/Dankort eller Mastercard uden kontaktløs mulighed.

(*) Der selvfølgelig også American Express (som du p.t. ikke kan få i Danmark som forbruger) og Diners Club. Men de kan ikke bruges særligt mange steder.

Bjarne Nielsen

Det sidste er noget vrøvl. Der er tale om persondata, altså information vedrørende en identificeret eller identificerbar person. På dansk: kom med dit kortnummer, så kan man se hvad du har købt. At oplysningerne overføres krypteret gør dem ikke mindre personhenførbare.

Det er en meget vigtig pointe, som desværre tit overses af personer, som egentlig burde vide bedre: mange tror at det er nok at omkode primære identifikatorer, som f.eks. CPR.nr. (det kunne være stærk kryptering, men jeg har også set det erstattet med en NemId PID). Sålænge det er muligt for nogen at omgøre det, så er data stadig personhenførbare, og skal behandles som sådan.

Et kortnummer er derfor lige så slemt, for det peger tilbage på mig, og det er et hashed kortnummer også (og prøv lige at tænke igennem, hvad der så er tilfældet med telefonnumre, email adresser, medlems- og kundenumre).

Men selv hvis der ikke findes disse (direkte eller indirekte) ID-er, som går man ikke fri. Hvis man ved at kigge på data kan skille de bagvedliggende personer ud enkeltvist, så er data personhenførbare. Jeg har før henvist til et eksperiment, hvor man kunne identificere personer på så lidt som tid og sted for fire betalinger - et andet eksempel stod Netflix ufrivilligt for: anonymiserede data om den bedømmelse personer havde givet film, kunne af-anonymiseres fordi data var godt spredt ud.

Men jeg er enig i at der mange forklaringer og oplysninger fremme, og at de ofte er i indbyrdes modstrid. Man kunne godt få mistanke om, at nogle aktører har en interesse i at skjule hvad der reelt foregår med vores købsdata, når vi bruger de moderne digitale betalingsmidler.

Det kunne man nemt. Men det kunne også skyldes uvidenhed. Jeg tror ikke at nævnte advokat nødvendigvis er speciel skarp til IT eller statistik, og derfor ikke er klar over, hvad man kan. Forklarer man, hvad man kan, så vil han sikkert skifte mening.

Jeg tror heller ikke at Dansk Supermarked bevidst vil bryde loven, eller for den sags skyld bevidst holder sig i uvidenhed. Jeg er sikker på, at denne debat har fået dem til at læse op på paragrafferne.

Men det er et område med utroligt mange fælder, og det føles lige nu som om at udviklingen er løbet fra os. Det er i virkeligheden ikke nye problemstillinger - jeg mødte f.eks. Danmark Statistik i en helt tilsvarende diskussion for omkring 25 år siden, og de var udemærket klar over fælderne dengang - men nu mængden af data som vi danner eksploderet, og det er mængden af det som indsamles, perioden det gemmes i og antallet af steder det sker også. Og forståelsen af fælderne er ikke fulgt med. Læg dertil at analyseevnerne også er eksploderet, og at der er megen forskning i gang på dette område.

Det er lidt et Klondike - ingen forstår konsekvenserne, og alle vil være med, for den som kommer sidst, får ikke noget. Jeg forventer en modreaktion ... en besindelsesfase ... når det går op for folk i almindelighed at sværdet er tveægget, og at der også er en pris som skal betales.

Keld Simonsen

Nu sidder Dankort, Visa og Mastercard på stort set hele kortmarkedet i Danmark (*), og jeg har set den kontaktløse feature blive omtalt i forbindelse med alle tre korttyper. Dermed ikke sagt at der kan være banker, som vi tilbyde deres kunder et Visa/Dankort eller Mastercard uden kontaktløs mulighed.


Er der nogen der har kendskab til at en bank tilbyder bankkort, der ikke har mulighed for kontaktløs overførsel?

Hvad skal der til? Dete er vel tale om RFID-teknologi? Og så skal banken vel sige at deres system ikke tilbyder den trådløse overførsel? Det giver vel ikke rigtigt mening at have RFID uden at der kan laves trådløs kommunikation til det.

Og problematikken er vel også relevant på andre områder, bl.a. pas med RFID. En beskyttelsesmetode er vel så at beskytte mod at der kan kommunikeres, fx i noget strålingsbeskyttet. Altså punge hvor radiosignaler ikke kan trænge igennem. små scramblingsendere, særlige poser til pas og som der er radiogennemtrængningsbeskyttede. Hov, Hov, det var mig der fandt på produktidéen, jeg vil have royalties:-)

Peter Jensen

Kan man undgå at få sådan et "fantastisk" kort, som kan aflæses af alle med de rigtige antenner?


Næppe. Men det er også naivt at stole banker, firmaer og stater i det hele taget.

Jeg anbefaler i stedet at være proaktiv ved at opbevare alle plastikkort (betalingskort, id-kort, rejsekort m.v.) i et Faraday bur, når man har dem med uden for hjemmet. Det samme gælder i øvrigt for nyere pas, da de også indeholder en RFID-chip som kan aflæses med udstyr på lang afstand. Sådan har jeg selv gjort siden jeg fik nyt pas, hvor jeg blev opmærksom på problemstillingen med fjernaflæsning.

Der findes efterhånden rigtig mange produkter på markedet som er velegnede som Faraday bur til plastikkort og pas. Man kan få dem indbygget i tegnebøger, kortholdere m.v.

Jens loggo
Keld Simonsen

Der findes efterhånden rigtig mange produkter på markedet som er velegnede som Faraday bur til plastikkort og pas. Man kan få dem indbygget i tegnebøger, kortholdere m.v.


Jeg tænkte jo nok at der allerede var noget på markedet. Kan du eller andre anbefale noget, som måske ikke skal købes over nettet, men kan købes i en alm. butik med kontanter i mit lokalområde? Jeg bor cirka i Københavnstrup. Jeg tænker både på noget til mine plastikkort og til mit pas.

Peter Kyllesbeck

Altså punge hvor radiosignaler ikke kan trænge igennem. små scramblingsendere, særlige poser til pas og som der er radiogennemtrængningsbeskyttede.


Brobizz'er leveres (eller det gjorde de, da jeg fik en) med en lille pung til at opbevare den i, og den er foret så bizz'en ikke kan læses ved en fejl. F. eks. hvis den er medbragt i en anden bil og den IKKE skal bruges til at betale turen

Henrik Madsen

Når først DSG har fået lov til at kæde alle dine indkøb sammen via hash værdien på dit kredtikort så er der jo uanede muligheder for hvad det kan bruges til.

Først tager det ikke ret mange besøg i Føtex med en tændt mobil med wifi, før de har kædet din mobil sammen med dig også, det kan så udnyttes til, udover at vide hvilke varer du køber også at kunne tracke hvilken vej du går gennem føtex.

Hvis jeg så f.eks har en svaghed for chokolade og de kan udlede at de fleste med denne svaghed kommer forbi et bestemt sted i butikken så kan de placere chokoladen der.

Derudover vil man i ekstremen næsten kunne tilpasse prisen efter hvad folk er villige til at betale.

Nu om dage er mange hyldeforkant prisskilte elektroniske og kan justeres remote.

Hvis nu Føtex ser at jeg er typen som kun køber produkt X, når det ligger under Y Kr. så kan de sørge for at når jeg står ved hylden med vare X, så er prisen lige under min smertegrænse.

Det gode ved dette er at de får det maksimale jeg vil betale for varen OG hvis det så f.eks er kartoffelchips og de ved at jeg altid køber dip-mix og creme fraiche når jeg har købt chips, så kan de pumpe prisen på de 2 produkter fordi de ved at jeg ikke er så nøjeregnende med dem når jeg først har taget beslutningen om at jeg vil have chips.

Ergo laver jeg en god deal på chips, men de får så pengene ind igen på dipmix og creme fraiche.

De kan også ved at tracke mig rundt i butikken sørge for at der bliver vist reklamer for de produkter jeg typisk køber på skærmen i det jeg går forbi.

På den måde får min kone vist reklamer for hygiejnebind og jeg får vist reklamer for Gilette skrabere.

Må indrømme at får Føtex lov til det her så vil jeg nok sørge for at handle kontakt i Føtex, jeg gider ikke at der ligefrem laves en købsprofil på mig og nogen, eller alle de ovenstående ting bliver virkelighed.

Man kunne hurtigt blive til grin hvis de lavede det her og alle vidste hvordan det virkede og man så gik forbi og den så viste reklamer for babylotion og ugens rapport. :)

Jesper Lund

Jeg tror heller ikke at Dansk Supermarked bevidst vil bryde loven, eller for den sags skyld bevidst holder sig i uvidenhed. Jeg er sikker på, at denne debat har fået dem til at læse op på paragrafferne.

Jeg vil ikke tillægge Dansk Supermarked nogle motiver, som de måske ikke har. Men du skal ikke læse ret længe i bemærkningerne til § 85 i lov om betalingstjenester før det bliver klart, at hensigten med § 85 er at sidestille kortbetaling med kontantbetaling i forhold til registrering af hvad du køber.

Lovgiverne har været klar over, at der med kortbetaling er teknisk mulighed for at sammenkæde dine enkelte køb til købsprofiler, og derfor forbyder § 85 eksplicit dette.

Butikken skal ikke have adgang til mere information om køberen, blot fordi du betaler med kort. En bon i butikken er en enkeltstående bon, som ikke skal kunne sammenkædes med andre bon'er. Hvis butikken vil have mere information ud af kunderne, må de lave aftaler om loyalitetskort (betal med dine købsdata for måske engang at vinde en iPad..) eller lignende. Det skal IKKE foregå i det skjulte med betalingskortet.

Det som Dansk Supermarked har gang i, bevidst eller ubevidst, er enten direkte ulovligt eller en lidt for smart omgåelse af intentionerne med § 85.

Vi bliver nok klogere i de kommende dage..

Rune Jensen

Butikken skal ikke have adgang til mere information om køberen, blot fordi du betaler med kort.

Jeg skal ikke blande mig i den debat omkring det rent moralske eller lovgivningsmæssige, blot gøre opmærksom på, generelt for alle forretninger at der for kunderne kan være en fordel i at der bliver registreret oplysninger, som kan gøre man kan genskabe en bon, og som idtf. IKKE har med data til markedsføring at gøre.

Det er i det tilfælde, at man enten mister sin bon, eller hvor bonens farve er mistet. I så fald vil både ombytte eller evt. reparation af et produkt indenfor garanti være meget svært, hvis bonen ikke kan genskabes. Og det kan den med stor sandsynlighed ikke, hvis man betaler kontant. Det er så kunden som skal bevise købet - ikke forretningen.

Derfor, hvis man er meget bange for sin privacy og betaler kontant (og man heller ikke bruger en form for online kvitteringsopbevaring) - vær sikker på at opbevare bonen bag plastic i en mappe eller lign. hvor du nemt kan finde den.

Henrik Madsen

"Derfor, hvis man er meget bange for sin privacy og betaler kontant (og man heller ikke bruger en form for online kvitteringsopbevaring) - vær sikker på at opbevare bonen bag plastic i en mappe eller lign. hvor du nemt kan finde den."

Det nemmeste er at tage en fotokopi af disse bon'er.

Sad på et tidspunkt som kasserer for en personaleforening og jeg tog altid en kopi af de bonner som var thermo-print bonner for uanset hvordan du opbevarer dem så vil de ad åre miste deres tekst og jeg var jo ansvarlig 5 år tilbage så derfor blev bonnerne kopieret.

Den bedste jeg har hørt om var en gut som ville være smart og plastlaminere bonnerne for at undgå at teksten forsvandt.

PS. Nej, det var ikke en kold-laminator han brugte :)

Keld Simonsen

Jeg tænkte jo nok at der allerede var noget på markedet. Kan du eller andre anbefale noget, som måske ikke skal købes over nettet, men kan købes i en alm. butik med kontanter i mit lokalområde? Jeg bor cirka i Københavnstrup. Jeg tænker både på noget til mine plastikkort og til mit pas.


Der er vel en del muligheder.

Kan elektrostatiske poser, fx som brugt til indpakning af harddiske og pci-kort bruges?

Hvad med frostposer?

Jeg har også set små æsker af metal til visitkort, og så nu især brugelige til plastikkort.

Hvad med visitkort i metal? Ville de kunne stoppe strålingen?

Man skulle kunne bruge almindelig aluminium-folie, eller stanniol, eller sølvpapir - som vist er dete samme.

Henrik Madsen

"Kan elektrostatiske poser, fx som brugt til indpakning af harddiske og pci-kort bruges?"

Bare for sjovt prøvede jeg lige følgende :

Tog min NFC telefon som kan læse NFC tags.

Lod den læse et Mifare NXP kort som jeg har, det blev fint læst.

Derefter puttede jeg det i en antistatisk pose, helt ned i bunden og prøvede igen.

Telefonen kunne stadigvæk sagtens læse kortet.

Konklusion...En ESD pose forhindrer ikke RF kommunikation.

Keld Simonsen

Tog min NFC telefon som kan læse NFC tags.


Godt eksperiment! Hvilke telefoner har NFC læsere? Hvilket programmel brugte du?

Har i mellemtiden været i byen for at købe Faraday-bokse.

Jeg fandt en termopose i min nærmeste Lidl til 4,95 kr og købte den. Størrelse: Russerpose. Vil den være sikker?

Jeg fandt også en "Card Holder" æske i aluminium beregnet til plastikkort, kontanter mv, og som de reklamerede med i rimeligt store typer at den var RFID-sikker og beskyttede mod identitetstyveri. Det var i Føtex, og den kostede kun 49,95 - et rent røverkøb! De havde sat reklamen op på en stander, og viste video om produktet, så det er noget Føtex promoverer en del. Der må være en rimelig efterspørgsel.

Keld Simonsen

Kiggede også på punge i Føtex, men der var vist ikke nogen med metalforing.

Men et aluminiumsindlæg i seddelrummet i en pung burde vel kunne klare det. Eller skal rummet være helt lukket for at ingen stråling kan komme igennem? Eller reducerer et tyndere metallag tilstrækkeligt meget til at der i praksis ikke kan læses noget? Eller kan man bare sende induktionseffekten op, så man kan få lavet stærkere signal? Forvirret? Stay tuned!

Det kan være at Dansk Supermarked er i gang med deres nye teknologi for at de kan booste deres salg af RFID-beskyttelsesvarer:-)

Finn Thøgersen

Hvis man nu alligevel får et kontaktløs kort er det ret nemt at ødelægge den del af kortet.

Hold det op mod en kraftig lyskilde, så vil du kunne se antennen inden i kortet som kører rundt i kanten af kortet.

Vælg nogle steder hvor den er fri af kortnumre osv og ikke for tæt på kanten. Gerne tæt på chipen - men endelig ikke selve chippen.

Tag en tynd mejsel/stemmejern etc og bank hul igennem, så antennen klippes over og så chippen ikke har kontakt til antennen.

Jesper Lund
Keld Simonsen

Hold det op mod en kraftig lyskilde, så vil du kunne se antennen inden i kortet som kører rundt i kanten af kortet.


Hmm, jeg har et kort som jeg véd laver noget kontaktløst. Men jeg skal helt hen til låsen for at den låser en dør op. Er det RFID? Brobizz virker jo på flere meters afstand, og er RFID. Så der må være noget med effekt.

Hvilke kreditkort er RFID? Vel ikke alle dem med chip, eller hur? Jeg kunne ikke se nogen antenne på flere af mine bankkort.

Og antennen. Den løber fra chippen og ud til plastikkortets kant, hvor den så løber rundt?

Henrik Madsen

De fleste nyere mobiler i den højere ende har både en NFC chip og en chiplæser.

Jeg brugte programmet "taginfo" til android på min Huawei P8

Hvis man vil sikre sig skal man have sådan en clips som kortet føres ind i med metal på begge sider, NFC er lav energi overførsel så der skal ikke meget beskyttelse til at forhindre at der sker noget.

Har set flere tegnebøger hos lædervare forhandlere som reklamerer med at der er et RF safe slot.

Dog er slottet nok primært sikret "bagud" så man ikke kan aflæse chippen

Dette (meget amerikanske) klip viser hvordan et såkaldt "Tiger Team" bryder ind hos en stor juveler, bl.a ved at aflure ejerens NFC kort.

https://www.youtube.com/watch?v=zA50pSZcesc

Det værste er næsten at det er pinligt nemt at klone et NFC chip kort, alt man behøver er en læser som kan læse kortet og så nogle kort hvor kortets serienummer kan skrives frit og dem kan man købe bl.a hos diverse kinesiske forhandlere.

Hvilke andre former for sikkerhedslag der er i de nye kontaktløse betalingskort, udover at man skal taste PIN, enten hvis beløbet er over 200, eller hver 5 gang, uanset beløbsstørrelse kan jeg ikke se.

Hvis de så evt. lægger kortnummer, udløbsdato og CVC ind i NFC chippen, så er det da først at det bliver nemt at stjæle folks oplysninger.

Har set folk som har lavet NFC læsere med større antenner som kan læse alle NFC kort som kommer forbi i en afstand af helt op til ½ meter så man behøver ikke engang skulle hen og røre ved folk lomme for at læse kortet.

Mener også at have set nogen som har smidt deres kort i mikroovnen for at riste chippen. Dette kan dog ikke anbefales med et dansk kort da vores kort jo også har chip. De kort jeg så havde kun magnetstripe og RFID. Mon ikke også den alm chip man stikker ned i en sprække forsvinder i løbet af nogle år herhjemme når RFID kortene bliver populære.

Keld Simonsen

Det værste er næsten at det er pinligt nemt at klone et NFC chip kort, alt man behøver er en læser som kan læse kortet og så nogle kort hvor kortets serienummer kan skrives frit og dem kan man købe bl.a hos diverse kinesiske forhandlere.


NETS reklamerer for hvor sikkert det er: https://www.dankort.dk/Sikkerhed-for-kortholdere

Endnu en gang noget misinformation fra NETS. I hvert fald kan enhver RFID læser inklusive nyere smartphones aflæse dit nye dankort, så der er øget risiko for overvågning.

Jeg forstår ikke at et firma som NETS, der har mistet al troværdighed, kan varetage så vigtig funktion som det gør omkring betalingsformidling i Danmark, endda som monopol.

Samme sider siger at udrulning af det nye rfid dankort sker fra september. Så anskaf dig et nyt dankort inden da.

Henrik Madsen

TS reklamerer for hvor sikkert det er: https://www.dankort.dk/Sikkerhed-for-kortholdere

Endnu en gang noget misinformation fra NETS. I hvert fald kan enhver RFID læser inklusive nyere smartphones aflæse dit nye dankort, så der er øget risiko for overvågning.

Jeg forstår ikke at et firma som NETS, der har mistet al troværdighed, kan varetage så vigtig funktion som det gør omkring betalingsformidling i Danmark, endda som monopol.

Samme sider siger at udrulning af det nye rfid dankort sker fra september. Så anskaf dig et nyt dankort inden da.

Ja jeg må altså også undre mig over at nogen kan sige at RFID er sikkert.

Hvis de nye Dankort bliver med en RFID chip af samme type som dem som sidder i mange adgangskontrol systemer og andre identifikations systemer så er der jo tale om en trådløs overførsel af statiske oplysninger.

Der er mig bekendt ingen krypto del i de nye kort og i chippen ligger blot kortnummer osv som overføres uden kryptering og uden noget challenge response med en kryptonøgle som er unik for hvert kort.

Det er min påstand at det med de nye RFID Dankort bliver nemmere for folk der vil skimme oplysninger end det er i dag hvor de skal have udstyr på en automat til at aflure din pinkode. Med det nye system kan enhver med deres mobil skimme andre folk's oplysninger og hvor kriminelle i dag skal sætte skimming udstyr på hæve terminalerne og dermed risikere at blive snuppet samt at folk er ekstra opmærksommme, så skal de i fremtiden blot sætte en boks op et sted og så lade den skimme alle der kommer forbi med et RFID kort i en afstand af måske 50 cm.

Hvor svært bliver det lige at putte den slags i en rygsæk og så gå gennem hovedbanegården uden at vække opsigt.

At Nets siger at noget er sikkert giver jeg ikke mange potter pis for. De ville med garanti også for 3 år siden have forsvoret at nogen kunne gøre det som Se og Hør kilden gjorde.

Summa summarum er at vi er MINDRE sikrede med de nye RFID kort som jeg ser det.

Gert Madsen

Finansinstitutionerne arbejder jo som et kartel.
Derfor har man sikret sig at kunderne ikke bare kan vælge en konkurrent, hvis man ikke vil have RFID-kort.
Man kan også bemærke at det kun bruges til små beløb, som er dækket af kundernes selvrisiko.
Så fordelene tales op, og ulemperne overlader de helt til kunderne.

PS: Jeg har fundet PACSAFE, som påstår at have punge etc. som beskytter mod RFID aflæsning.
Jeg har ikke prøvet, så jeg tør ikke sige om det virker.

Henrik Madsen

Der findes artikler på nettet omkring de her RFID tegnebøger.

http://www.makeuseof.com/tag/what-are-rfid-blocking-wallets-which-should...

Den billigste metode er åbenbart at putte kortet i en gammel tobaksdåse.

Det mest frustrerende her er dog at det overhovedet skal være nødvendigt, hvorfor helvede laver man ikke et system med en kryptochip med en stor unik nøgle som ikke kan udlæses og som alle transaktioner skal køre challenge respons op mod.

I min bil er der en radiostyret fjernbetjent centrallås, der kan man godt finde ud af at det nok ikke er smart at den samme statiske kode kan åbne min bil fordi det så ville være for nemt for en bandit at lave en optagelse og et replay-attack og rende med min bil.

Selvom bankerne holder sig under folks selvrisiko så kan de da ikke være interesseret i at en hel masse folk pludseligt har "hævet penge" og sendt til Rumænien eller Polen og selv skal dække...

Bankernes ry vil da styrtdykke og det endda fra det i forvejen lave tillidsniveau de har i dag.

Steen Thomassen

@Henrik Madsen

Der er mig bekendt ingen krypto del i de nye kort og i chippen ligger blot kortnummer osv som overføres uden kryptering og uden noget challenge response med en kryptonøgle som er unik for hvert kort.


Efter hvad jeg google mig frem til, skulle der på trådløse kort være unikke nøgler på kort, som følger EMV-standard, som bruges til challenge response ved transationer. Der har være kort, hvor sikkerheden ikke var iorden. Jeg har en kilde her: http://www.smartcardalliance.org/publications-contactless-payment-securi... Men det kunne være ide at finde mere. Jeg ved godt at kortnummer kan aflæses.... det har jeg set demonstreret.

Henrik Madsen

Efter hvad jeg google mig frem til, skulle der på trådløse kort være unikke nøgler på kort, som følger EMV-standard, som bruges til challenge response ved transationer. Der har være kort, hvor sikkerheden ikke var iorden. Jeg har en kilde her: http://www.smartcardalliance.org/publications-contactless-payment-securi... Men det kunne være ide at finde mere. Jeg ved godt at kortnummer kan aflæses.... det har jeg set demonstreret.

Hmm, det lyder jo til at der ER kryptodel i kortene så.

Det undrer mig så bare at man, så vidt jeg husker, tidligere har meldt ud at man på sigt godt kan bruge NFC chippen i sin telefon istedetfor sit Dankort hvilket jo også giver god mening i forhold til at man så slipper for at rende rundt med sit dankort. Men det må man så gå ud fra ikke kommer til at ske for der er da, igen så vidt jeg ved, ikke nogen kryptochip i telefon NFC chipsene.

Steen Thomassen

@Jesper Lund

Typisk Nets. De sikrer transaktionen, som de selv har en økonomisk interesse i, men at kortholders informationer lækkes til tredjepart, er Nets da ligeglade med.


Det er et generelt problem for alle trådløse EMV-kort i hele verden... Og det kan Nets ikke løse alene. For det vil kræver en del ændringer i en infrastruktur, som håndtere korttransaktionen (som stadig er designet til formatet på magnetstriben) Bare det at amerikanerne nu går over til chip-løsninger har taget tid!

Jesper Lund

Det er et generelt problem for alle trådløse EMV-kort i hele verden... Og det kan Nets ikke løse alene.

Nej, men Nets og bankerne kunne lade være med at tvinge kunderne til at have de usikre kontaktløse kort. Hvis folk frivilligt vil have dem, efter at være blevet oplyst ærligt om sikkerhedsproblemerne, så fred være med det. Men i stedet pusher bankerne kortene til alle kunder UDEN at fortælle dem at der lækkes personlige oplysninger.

Steen Thomassen
Keld Simonsen

Fk anskaffet mig endnu et faraday bur - tasken til den lille BroBizz. Og jeg fandt ud af at jeg allerede havde nogen Farada-bure, bla. en eller flere gryder og kagedåser og thedåser - og mikrobølgeovnen.

Jeg fik afprøvet noget af det. Hvis det er et effektivt faraday-bur, lukker det så godt som al stråling ude. Også til telefonen. Det virkede fint ved gryden og thedåsen - ingen forbindelse til telefonen. Men termoposen og brobizztasken havde ikke stærk nok afvisning. Da brobizztasken er lavet til formålet, må den være god nok til at forhindre kommunikation omkring en brobizz.

Peter Jensen

Den eneste "sikkerhed" der er ved "kontaktløs betaling" er at banken dækker et evt misbrug. Det system de bygger de nye NFC kort på i følge Nets er VISAs "Paywave". Man skal ikke søge længe på Startpage for at finde artikler og videoer om hvordan dette system kan misbruges på forskellige måder.

Men debatten om sikkerheden for banken er jeg egentlig ligeglad med. Jeg er mere optaget af forbrugernes sikkerhed, og her kommer overvågningspotentialet ind på førstepladsen. Som man også hurtigt kan søge frem på Startpage og Youtube, så kan kortene aflæses på lang afstand med det rette udstyr.

De små bekvemme løgnehistorier fra Nets og co. om 3-5 centimeter gælder kun for rækkevidden ved brug af deres egne terminaler med små antenner og begrænset sendeeffekt.

Da alle går med deres plastikkort (og pas i udlandet), så kan de potentielt overvåges og deres færden rundt omkring kan let registreres og logges, uden at de ved noget som helst om det. Gode steder til skjult aflæsningsudstyr kunne fx være ved ind-/udgange fra togstationer, busser, metroer, stationer, stadioner, indkøbscentre m.v. Dvs alle offentlige steder hvor der naturligt passerer mange mennesker.

Folk kan tage batteriet ud af deres mobiltelefon for at undgå den kendte overvågning af vores færden med mobiltelefonerne, men tænker de over at de også kan overvåges via RFID? Nej det aner almindelige mennesker intet om og det vil blive udnyttet i vanlig stil af det syge overvågningssamfund vi lever i i dag.

Men ikke kun staten kan overvåge borgerne. Også butikker kan potentielt overvåge kunderne. Dvs. fx både skaffe sig et ID på kunderne via aflæste RFID chips, men også optegne profiler af de forskellige RFID-chips (personers) færden rundt i butikken og senere koble dette med deres betaling med samme kort.

Der er et kæmpe potentiale for overvågning og privatlivskrænkelse i brugen af RFID. Derfor mener jeg at der ikke er andre muligheder end at beskytte sig selv ved at opbevare sit pas og sine plastikkort m.v. (som indeholder en RFID-chip) i Faraday bure. Der er masser af RFID-sikre tegnebøger og pas-hylstre på markedet i dag. Jeg gør det selv konsekvent og jeg vil anbefale andre at gøre det samme.

Tænk på at oplysningerne i ens pas umiddelbart kan aflæses og kopieres eller bruges til identitetstyveri. Det er en alvorlig trussel.

Steen Thomassen
Jesper Lund
Peter Jensen

Nej, det gør banken ikke.
Det er sikkert "helt" tilfældigt, men de beløb, der kan trækkes via RFID ligger under din selvrisiko.


Det fremgår tydeligt af vilkårene at man ikke hæfter for uforskyldt misbrug af kortet. Det er også det samme som fx Danske Bank skriver i deres pressemeddelelse/nyhed på deres hjemmeside om det nye kontaktløse kort. Vi bliver nød til at forholde os til fakta.

Jesper Lund

Det fremgår tydeligt af vilkårene at man ikke hæfter for uforskyldt misbrug af kortet. Det er også det samme som fx Danske Bank skriver i deres pressemeddelelse/nyhed på deres hjemmeside om det nye kontaktløse kort. Vi bliver nød til at forholde os til fakta.

Helt enig med Peter.

Den objektive selvrisiko på 1100 kroner ved misbrug (objektiv = uden at du skal have opført dig uansvarligt) gælder kun hvis PIN koden anvendes. Når PIN koden ikke anvendes hænger banken på tabet uden selvrisiko.

Log ind eller Opret konto for at kommentere