Er den computer du køber nu også helt ny og aldrig brugt?
Wupti præsenterer sig selv på deres hjemmeside på følgende måde:
”Danmarks største onlinehandel. Med omkring 10.000 varenumre i sortimentet er wupti.com Danmarks største onlinehandel for salg af forbrugerelektronik og hårde hvidevarer”.
Vi går mod vinteren, mørke aftener og juletid, og der skal traditionen tro købes både bærbare- og stationære PC'ere til de danske hjem.
CSIS har over flere omgange observeret, hvordan returnerede PC'ere, som enten er ønsket byttet eller har været defekte, er blevet ”recyclet” til nye kunder, uden at harddisken er blevet slettet forinden. Det kan eksponere private billeder, login data og dokumenter for tredjepart og er i klar strid med persondataloven.
I sidste uge analyserede vi en laptop af modelen "Asus Zenbook UX31" købt via Wupti.dk. Ejeren af den pågældende laptop var af den opfattelse, at han havde købt en ny PC. Maskinen blev købt som en returvare i uoriginal emballage men viste sig at være alt andet end ubrugt.
Papkassen, som den blev leveret i, bar ingen præg af at have været åben siden afsendelse fra tidligere ejer, idet den indeholdte tidligere ejers navn og adresse samt retursedler.
Ved opstart kunne det konstateres, at der var oprettet en brugerkonto på den installerede version af Microsoft Windows, og at PC'en havde været taget i brug i efteråret 2011 og aktivt brugt frem til november 2012. Ved gennemgang af filstrukturen blev følgende personlige data og følsomme dokumenter fundet:
- Billeder i massevis (ferie, sportsstævner, festligt lag mv.)
- Hjemmevideooptagelser
- Adgang til gymnasie-intranet (karakterblade, mails)
- Adgang til Facebook konto
- Adgang til Gmail konto
- Adgang til Spotify konto
- Personlige dokumenter
- Fortrolig kommunikation mellem tidligere ejer og offentlig instans
Filernes tidsstempler bekræfter en levetid på omkring et år.
Efter endt analyse er sagen åbenlys; her er tale om klart brud på persondataloven. En ting er, at det er en rigtig dårlig ide at returnere hardware uden at have renset maskinen forinden, og det uanset om det drejer sig om kameraer, mobiltelefoner, tablets eller en computer. En anden ting er, at firmaer, der sælger denne type varer selvsagt har et ansvar for, at oplysninger og følsomme data ikke bliver videregivet til 3. part. Dette eksempel, som altså stammer fra sidste uge, understreger vigtigheden af at fjerne sine data fra elektronisk udstyr, der returneres til forhandleren.
Datatilsynet er nu, på vores anbefaling, blevet inddraget i sagen.
↧
CSIS Blog: Ups, Wupti – det er en ommer!
↧