Få dit navn og adresse valideret lynhurtigt ved at sende dit CPR-nummer, der så bliver holdt op imod Folkeregisterets oplysninger. Så kan andre brugere se, at du er den, du udgiver dig for, tilbyder auktionssitet QXL.dk.
Men i en periode har alle, der tog imod det tilbud, sendt deres personnummer til QXL via en ukrypteret forbindelse, for ved en fejl forsvandt https-sikkerheden, sandsynligvis i forbindelse med en opdatering af platformen, oplyser QXL.
»Da vi implementerede CPR-validering, sikrede vi os hos vores leverandør, at det var med en krypteret forbindelse. Men krypteringen gik tabt, og vi gætter på, at det er sket for nogle uger siden,« siger Hanne Larsen, kommunikationschef i QXL.dk
Valideringen sker ved, at QXL trækker data fra Folkeregisteret og sammenligner navn og CPR-nummer. Stemmer alt overens, får brugeren et grønt CPR-stempel på sin profil.
Løste problemet - halvt
Problemet med den manglende kryptering blev opdaget, da en bruger henvendte sig til firmaet søndag d. 14. juni og gjorde opmærksom på, at det ikke var sikkert at sende CPR-numre til QXL, når forbindelsen ikke skete via https-protokollen.
»Det var super heldigt, at han henvendte sig, når nu vi ikke selv havde opdaget problemet,« lyder det fra Hanne Larsen, der beklager problemet, men mener, at QXL har gjort, hvad de kunne.
»Det er selvfølgeligt uheldigt, at fejlen er sket, men vi har handlet i god tro, og vores leverandør af CPR-valideringen, schweiziske Datatrans, har fulgt de retningslinjer, der er,« siger hun.
Nu er problemet løst, fortæller Hanne Larsen, efter at QXL's centrale it-afdeling i Frankrig har været i sving. Men da Version2 derefter besøger QXL.dk, er det stadig en almindelig, ukrypteret http-side, der håndterer CPR-valideringen.
Et opkald mere til QXL afslører, at der er to forskellige indgange til CPR-valideringen, og at det kun var den ene af dem, der var blevet rettet.
»Det får vi rettet med det samme,« siger Hanne Larsen.
Brugerne er trygge med CPR-validering
For at blive oprettet som bruger på QXL skal ens identitet bekræftes. Alternativet til at bruge sit CPR-nummer er at vente et par dage på et brev med en sikkerhedskode. Men der har tidligere været sager, hvor svindlere trods brev-løsningen alligevel kunne oprette sig med falsk identitet.
I ét tilfælde fik en udenlandsk fupmager for eksempel scoret 800.000 kroner på 17 dage ved at sælge mobiltelefoner på QXL.dk og så stikke af til udlandet, uden nogensinde at sende køberne en telefon.
Derfor er CPR-valideringen populær - og så er den langt hurtigere for brugerne, der med det samme kan komme i gang.
»Mange føler sig mere trygge, når de kan se, at dem, de handler med, er CPR-validerede. Vi har fået en positiv respons fra brugerne om CPR-validering, og det er også blevet markedsstandard nu om dage,« siger Hanne Larsen.
