Suomalaisten käyttämässä maksupalvelussa ammottava aukko - paljastaa kotiosoitteet

Julkaistu:

Tietoturva
Useiden verkkokauppojen käyttämä Klarna-palvelu saattaa paljastaa kaupan asiakkaiden tietoja, vaikka nämä eivät edes tiedä rekisteröityneensä palveluun.
Monissa suomalaisissa nettikaupoissa käytetystä Klarna-maksupalvelusta on löytynyt massiivinen tietoturva-aukko. Aukko mahdollistaa palvelun käyttäjän kotiosoitteen urkkimisen tämän sähköpostiosoitteen ja postinumeron perusteella.

Aukosta kertoi ensimmäisenä blogissaan Markus Jansson.

Jansson osoitti voivansa kaivaa Booky.fi-verkkokaupasta vieraiden ihmisten kotiosoitteet. IS:n toisti testin, mutta sai epäloogiset tulokset. Yhden henkilön katuosoitteen paljastamiseen riitti sähköpostiosoitteen ja postinumeron yhdistelmä. Toisessa tapauksessa taas vaadittiin henkilötunnusta kokonaisuudessaan. Ensimmäisessä tapauksessa henkilöllä oli yhteystietojen luovutuskielto.

Klarnaa on mahdollista käyttää muun muassa Verkkokauppa.comissa, Discshop.fissä, Reiman verkkokaupassa, Lasten.fissä, Jills.fissä, Sportiassa, Vepsäläisellä ja Booky.fi-verkkokaupoissa.

Klarnan käyttö ei ole aina selvää verkkokaupan käyttäjälle, sillä yhtiö tekee sopimuksen verkkokaupan kanssa ja kauppa luovuttaa asiakkaansa tiedot laskutuskumppanilleen Klarnalle. Rahaliikenne ohjautuu Klarnan kautta, kun asiakas valitsee verkkokaupassa laskutustavaksi maksun jälkikäteen.

Tietosuojavaltuutettu voit tutkia Klarnan toimintaa uudestaan

Tietosuojavaltuutettu Reijo Aarnion mukaan Klarnan toimintaa selvitettiin jo muutama vuosi sitten. Tuolloin todettiin, että ruotsalaisen ja Ruotsissa toimivan laskunrahoituspalvelun toimintaan sovelletaan Ruotsin lakeja. Tilanne on kuitenkin vuosien kuluessa muuttunut.

– Me suhtaudumme entistä skeptisemmin ruotsalaisten tulkintaan, ja tarvittaessa avataan tapaus uudelleen, Aarnio sanoo.

– Suomalaisen tulkinnan mukaan tuo tilanne todennäköisesti olisi sellainen, että pystyttäisiin osoittamaan esimerkiksi, että turvavelvollisuutta on loukattu.

Peruskysymys onkin, minkä maan lakeja Klarnaan sovelletaan.

– Nyt on tullut esimerkiksi ilmi, että Klarna käyttää Suomen väestötietojärjestelmää, ja se on etabloitunut Suomeen oman Klarna Oy -myyntiyhtiönsä kautta, Aarnio sanoo.

Tietosuojavaltuutetun toimistossa harkitaan nyt uudestaan, onko se toimivaltainen ryhtymään joihinkin toimenpiteisiin Klarnan suhteen. Aarnion mukaan aiheesta on jo neuvoteltu väestörekisterikeskuksen kanssa. Myös Klarnan oma myyntikonttori Suomessa saattaa tehdä Klarnasta Suomen lakien alaisen, vaikka itse laskujen käsittely tehtäisiinkin edelleen Ruotsissa.

Klarna: ”Osoite on yleistä tietoa”

Meidän näkökantamme on, että palvelu on täysin turvallinen, vastaa Klarnan maajohtaja Casimir Ehnrooth.

– Osoitetiedot ovat yleistä tietoa, jonka saa vaikka Fonectalta. Ruotsissa tämän tyyppiset palvelut ovat yleisessä käytössä, mutta Suomessa vielä harvinaisempia. Jos joku väärinkäyttää palvelua, niin Klarna käyttää siitä täyden riskin.

Ehnroothin mukaan Klarna ei käytä Väestörekisterikeskuksen osoitetietoja, vaan omia tietokantojaan, joihin tiedot ovat tallettuneet, kun asiakas on käyttänyt Klarnan palveluja aiemmin muualla. Asiakas voi myös parantaa tietojensa suojausta määrittämällä pin-koodin.

– Olemme aiemmin lähettäneet asiakkaalle laskun, joten meillä on osoite. Esitäytämme sen lomakkeeseen, jotta ostaminen olisi asiakkaalle helpompaa.

Ingressissä ollut virhe korjattu. Klarna on useiden suomalaisten verkkokauppojen, ei -pankkien käytössä. Päivitys klo 15.55: Klarnan maajohtajan kommentit.

Kommentit

    Näytä lisää
    Kommentointi on päättynyt