spjallid.is

Svona í óbeinu framhaldi af umræðunni um Vefstjori.is geymir lykilorð

Fékk bréf frá Motus í dag þar ég hafði gleymt að greiða reikning í bréfinu koma fram allar upplýsingar en það sem að mér þótti undarlegt var þetta:

Þarna senda þér mér venjulegan bréf póst sem inniheldur bæði notendanafnið mitt, kt (kemur fram ofar á bréfinu) og einnir lykilorð til þess að komast þarna inn án nokkurrar fyrirhafnar - ég prufaði að fara inn á vefinn áðan á þessu lykilorð og ég var ekki neyddur til þess að breyta um lykilorð. Ef ég óska eftir nýju lykilorði á síðunni þeirra kemur fram að það komi undir rafræn skjöl í heimabanka.

Hvað þykir ykkur um svona ?

Wot? Afhverju ekki að láta þig þurfa að skoða rafræn skjöl til að sjá þetta í upphafi?

Þetta er milljón sinnum skárra en ömurlega og viðbjóðslega uppsetningin hjá Vefstjori.is á Eldsmidjan.is sem mætti líkja við phishing síðu.

Þarna er enginn að plata þig til að gefa upp lykilorðið þitt og geyma það svo á óöruggan máta þvert á alla almenna skynsemi og öryggisstandarda, án aðvörunar til notenda/fórnarlamba.

Þetta er fyrirframskapað lykilorð frá Motus, ekki satt?

M.v. bréfið eru líka engar upplýsingar inni á síðunni (sem fæst með notkun aðgangsins) sem væru ekki hvort sem er í kröfu sem er send með bréfpósti.

Svo í hnotskurn finnst mér ekkert að þessu.

Auk þess legg ég til að Vefstjori.is verði lagt í eyði.

Gúrú skrifaði:M.v. bréfið eru líka engar upplýsingar inni á síðunni (sem fæst með notkun aðgangsins) sem væru ekki hvort sem er í kröfu sem er send með bréfpósti.

Sýnist þetta ekki alveg vera málið - m.v valmöguleikana sem ég sé inni á síðunni þá getur maður séð fyrri mál sem hafa verið hjá motus allt að 2 ár aftur í tímann. Þú getur einnig séð ef þú ert með virka greiðslusamninga þarna inni - semsagt nokkuð nákvæma sögu.

Ég er alveg vissulega sammála að þetta sé ekki nálægt því sem vefstjori.is er að gera, en mér finnst þetta vera svo mikið óþarfi.

Þetta eru mjög persónulegar upplýsingar og alls ekki í lagi að senda þær í almennum bréfapósti.
Ég fæ oft bréf inn um lúgina stíluð á nágranna minn og öfugt.
Það er ekkert mál fyrir þessi innheimtufyrirtæki að senda þetta í ábyrgðarpósti, eða senda lykilorð í heimabanka viðkomandi eða bjóða upp á auðkenningu með rafrænum skilríkjum.
Almennur bréfapóstur er bara NO-NO!

svensven skrifaði:

Gúrú skrifaði:M.v. bréfið eru líka engar upplýsingar inni á síðunni (sem fæst með notkun aðgangsins) sem væru ekki hvort sem er í kröfu sem er send með bréfpósti.

Sýnist þetta ekki alveg vera málið - m.v valmöguleikana sem ég sé inni á síðunni þá getur maður séð fyrri mál sem hafa verið hjá motus allt að 2 ár aftur í tímann. Þú getur einnig séð ef þú ert með virka greiðslusamninga þarna inni - semsagt nokkuð nákvæma sögu.

Ég er alveg vissulega sammála að þetta sé ekki nálægt því sem vefstjori.is er að gera, en mér finnst þetta vera svo mikið óþarfi.

Það er algjör feill að veita aðgang með þessum hætti að viðskiptasögu/skuldasögu einstaklings...

Persóulega finnst mér helsta grunnskilyrði fyrir að fyrirtæki safni svona upplýsingum, að þau geti upplýst nákvæmlega hver hefur skoðað upplýsingarnar og hvenær þær voru skoðaðar.

Sá rekjanleiki verður aldrei betri en gæði aðgangsveitinga og í þessu tilfelli þá getur hvaða einstaklingur sem er sagt "ég fékk aldrei þetta bréf" "hver var að skoða þetta?" og Modus lendir þá í vandræðum vegna rekjanleika niður á tæki.

Það væri miklu sniðugra að Modus gæfi lykilorð að síðu, þú notaðir svo það + kennitölu til að opna síðu, þyrftir að skrá GSM nr. og fengir svo nýtt notendanafn og lykilorð í SMS, lykilorð sem krafa væri um að breyta við fyrsta login.

Fólk gæti þá hringt og þjónustuverið gæti þá alltaf smellt á hnapp og viðkomandi fengi nýtt notendanafn í SMS í skráðan síma.

Öll frávik mundu fattast strax.

rapport skrifaði:Það er algjör feill að veita aðgang með þessum hætti að viðskiptasögu/skuldasögu einstaklings...

Persóulega finnst mér helsta grunnskilyrði fyrir að fyrirtæki safni svona upplýsingum, að þau geti upplýst nákvæmlega hver hefur skoðað upplýsingarnar og hvenær þær voru skoðaðar.

Sá rekjanleiki verður aldrei betri en gæði aðgangsveitinga og í þessu tilfelli þá getur hvaða einstaklingur sem er sagt "ég fékk aldrei þetta bréf" "hver var að skoða þetta?" og Modus lendir þá í vandræðum vegna rekjanleika niður á tæki.

Það væri miklu sniðugra að Modus gæfi lykilorð að síðu, þú notaðir svo það + kennitölu til að opna síðu, þyrftir að skrá GSM nr. og fengir svo nýtt notendanafn og lykilorð í SMS, lykilorð sem krafa væri um að breyta við fyrsta login.

Fólk gæti þá hringt og þjónustuverið gæti þá alltaf smellt á hnapp og viðkomandi fengi nýtt notendanafn í SMS í skráðan síma.

Öll frávik mundu fattast strax.

Modus er skylt skv. lögum að setja þessar upplýsingar í innheimtuviðvörun. Sjá t.d. lög nr. 95/2005 grein 7 en þar stendur:

7. gr. Innheimtuviðvörun.
Eftir gjalddaga kröfu skal kröfuhafi eða innheimtuaðili senda skuldara eina skriflega viðvörun þess efnis að vænta megi frekari innheimtuaðgerða verði krafa eigi greidd innan tíu daga frá sendingu viðvörunar. Veita má lengri frest til greiðslu.
Í viðvörun komi fram:
a. nöfn, kennitölur og heimilisföng skuldara, kröfuhafa eða umboðsmanns hans og innheimtuaðila;
b. lýsing á kröfu;
c. fjárhæð kröfu og skal sundurliða hver sé höfuðstóll og hverjar séu viðbótarkröfur, svo sem dráttarvextir og innheimtuþóknun;
d. greiðslustaður; og
e. að greiðslufall skuldara geti leitt til málshöfðunar eða annarra innheimtuaðgerða á grundvelli réttarfarslaga og aukins kostnaðar fyrir skuldara.

Birting á netinu er ekki skrifleg birting (þótt það geti verið mun þægilegra fyrir "kúnnann"). Það stendur ekkert að það verði að senda innheimtuviðvörun í ábyrgðarpósti í lögunum enda eru hundruðir svona bréfa send daglega.

Revenant skrifaði:Modus er skylt skv. lögum að setja þessar upplýsingar í innheimtuviðvörun. Sjá t.d. lög

Þeim er ekki skylt að birta viðskiptasögu/skuldasögu á internetinu...

Ég er að gagnrýna hvernig það er gert, ekki hvort og hvaða upplýsingar verið er að birta.

GuðjónR skrifaði:Þetta eru mjög persónulegar upplýsingar og alls ekki í lagi að senda þær í almennum bréfapósti.
Ég fæ oft bréf inn um lúgina stíluð á nágranna minn og öfugt.
Það er ekkert mál fyrir þessi innheimtufyrirtæki að senda þetta í ábyrgðarpósti, eða senda lykilorð í heimabanka viðkomandi eða bjóða upp á auðkenningu með rafrænum skilríkjum.
Almennur bréfapóstur er bara NO-NO!

+1