Telia krypterer kontaktformular efter cpr-svipser

Indtil for nylig blev Telias kunder opfordret til at sende deres cpr-numre via virksomhedens hjemmeside i ukrypteret form - stik mod Datatilsynets krav på området.

Selvom Datatilsynet stiller krav om, at personoplysninger som et cpr-nummer skal sendes krypteret via hjemmesider, var det indtil i starten af denne uge ikke tilfældet på Telias hjemmeside.

Hvilket en Version2-læser har gjort redaktionen opmærksom på via redaktionen@version2.dk

Nærmere bestemt er der tale om en kontaktformular til Telias kundeservice, hvor brugerne opfordres til enten at indtaste cpr- eller kundenummer.

Datatilsynet har i 2008 lagt en skrivelse ud på tilsynets hjemmeside med titlen 'Datatilsynets krav og anbefalinger i forbindelse med overførsel af personoplysninger via internettet i den private sektor'

Og her fremgår det blandt andet, at Datatilsynet stiller krav om kryptering ved overførsel af personnumre via hjemmesider.

Telia: Vi er bevidste om beskyttelse af personfølsomme oplysninger

Ifølge pressechef i Telia, David Engstrøm, er man i virksomheden ellers meget bevidst om beskyttelse af personfølsomme oplysninger. Men med kontaktformularen er det altså glippet.

»På baggrund af din henvendelse har vi beklageligvis erfaret, at ikke alle led i kommunikationen via vores hjemmeside har levet op til vores egen høje standard – det er vi kede af, og det kan vi naturligvis heller ikke acceptere,« skriver pressechefen i en mail og fortsætter:

»Derfor har vi nu højnet sikkerheden på hjemmesiden og fået indført den fornødne fulde kryptering af kommunikationen i forbindelse med kundehenvendelser via vores hjemmeside.«

Et kig på hjemmesiden med kontaktformularen viser, at forbindelsen til selve domænet ikke ser ud til at være krypteret. Altså ingen hængelås. Men af HTML-koden fremgår det, at kontaktformularen ligger i en iFrame, der henter sit indhold fra et site, der ser ud til anvende HTTPS - altså kryptering.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (5)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Søren Grønning

Bibliotekssystemet Reindex, som benyttes af skoler og lignende, benytter som udgangspunkt en ikke-krypteret forbindelse til login (eks.: http://www.reindex.org/DK/main/Login.php), hvor de ligeledes beder om brugerens cpr-nummer. På en tidligere henvendelse omkring dette forhold fik jeg at vide at man 'ikke ville tvinge brugeren til at benytte en krypteret forbindelse', men at man selv kunne vælge at indtaste linket med HTTPS:// foran, hvortil jeg spurgte til automatisk videredirigering fra HTTP->HTTPS, hvilket blev betegnet som 'noget de da godt kunne overveje', men her 3 år senere er intet ændret!

Man kan undres over denne form for ignorance, ligesom man kan undres over Telias brug af IFRAME elementer, der er med til at skjule deres ellers (tilsyneladende) fornuftige forehavende, i stedet for at kryptere hele sidens indhold . . . Nogen må tænke, at det er nemmere på denne måde . .

  • 5
  • 0
Peter Jensen

Men af HTML-koden fremgår det, at kontaktformularen ligger i en iFrame, der henter sit indhold fra et site, der ser ud til anvende HTTPS

Det var dog en forargelig elendig måde at bruge HTTPS på.

Ingen gennemsnitlige brugere kan se om der anvendes HTTPS til en formular. Vi går til daglig og lærer brugerne at de skal se efter at der er en hængelås i browseren for at de kan være sikker på at hele siden er sikret med HTTPS.

Konsekvensen af den form for fedten rundt med koden er at folk kan begynde at tro at en session er krypteret selvom der ikke ses den velkendte hængelås.

Håbløst.

  • 4
  • 0
Peter Jensen

Nogen må tænke, at det er nemmere på denne måde . .


Det er skam helt forfærdentligt. Hvis websiden ikke bruger HTTPS, men kun i en udvalgt iframe, så kan brugeren ikke se i browseren hvem websiden tilhører (certifikatet er valideret til). Et ondsindet/forgiftet hotspot kan fx lave DNS-hijacking eller MITM-angreb så brugeren i virkeligheden afleverer alle sine data til kriminelle og andre uvedkommende. Deres løsning er simpelhen for amatøragtig.

  • 3
  • 0
Thomas Nylander Nørgaard

Det i problem du omtaler er ikke noget nyt.
Da jeg skulle søge optagelse på Merkonom på KEA for 5-6 år siden gjorde jeg dem opmærksom på deres manglende kryptering, men de har ikke ændret på det:
http://www.kea.dk/da/efteruddannelser/tilmelding/tilmelding-til-enkeltfa...
Da jeg senere skulle ind på ITU havde de heller ikke en krypteret optagelsesansøgning, lige nu er der dog lukket for formularen da de er ved at opdatere kursuslisten, men sidst jeg kiggede var den ikke ændret.
Generelt er der rigtig mange offentlige formularer der ikke krypteres når man beder borgere indsende oplysninger der er omfattet af persondataloven, og det bliver ikke bedre af at flere og flere steder ikke længere modtager papirformularer.

  • 1
  • 0
Log ind eller Opret konto for at kommentere