Stayclassy.no

Stayclassy.no-konkurranse får hard kritikk: – De rundlurer kundene

Ikke så classy av Stayclassy.no.

Da Daniel Christensen fattet interesse for en konkurranse i regi av Stayclassy.no fant han  ut at nettbutikken lurer kundene og samler inn epostadresser ulovlig for å benytte de i markedsføring.
Da Daniel Christensen fattet interesse for en konkurranse i regi av Stayclassy.no fant han ut at nettbutikken lurer kundene og samler inn epostadresser ulovlig for å benytte de i markedsføring. (Foto: Privat/digi.no)

Ikke så classy av Stayclassy.no.

Hei, dette er en Ekstra-sak som noen har delt med deg.
Lyst til å lese mer? Få fri tilgang for kun 235,- i måneden.
Bli Ekstra-abonnent »

Den norske nettbutikken Stayclassy.no kjørte i forrige uke en konkurranse der man tilsynelatende kunne vinne en PS5 i et lykkehjul på nettsidene. Nå hevder en  selvstendig sikkerhetskonsulent av lykkehjulet var rigget, epostadresser ble samlet inn uten samtykke, og at dataene ble lekket gjennom et sikkerhetshull. 

– Ifølge API-et var det null prosents sjanse for å vinne Playstation 5. Det kunne man enkelt lese ut av konfigurasjonsfilene til lykkehjulet som ble benyttet. De rundlurer rett og slett kundene, sier 18-år gamle Daniel Christensen i websecured.io til digi.no.

Lurer kundene

Christensen er ikke ukjent for digi.nos lesere. I fjor avdekket han en rekke sårbarheter og alvorlige feil i norske nettbutikker. Denne gangen fattet han interesse da Stayclassys konkurranse dukket opp i nyhetsoppdateringene hans på Facebook. 

Av konfigurasjonsfilene ser man at det var null prosent sjanse for å vinne en Playstation i lykkehjulet til Stayclassy. Foto: Privat

18-åringen har vært i kontakt med utviklerne av lykkehjulet, som har blitt brukt som en plugin på nettsidene til Stayclassy.no, og fått bekreftet at konfigurasjonsfilene han hentet ned er konfigurert av den norske nettbutikken.

Nettbutikken har altså, bevisst eller ubevisst, satt vinnersjansen på det aktuelle lykkehjulet til null. Dermed ville det aldri blitt noen vinner av en Playstation 5 i konkurransen.

Samtidig som Christensen fant konfigurasjonsfilen for lykkehjulet, fant han også et sikkerhetshull som ga ham adgang til konfigurasjonspanelet til hjulet.

Der kunne han laste ned alle epostadressene den norske nettbutikken har samlet inn gjennom konkurransen. 

Les også

Datalekkasje

Totalt skal det ha vært snakk om 55.000 adresser med tilhørende metadata. Christensen varslet leverandøren av lykkehjulet om sikkerhetshullet, og fikk senere bekreftet at de hadde rettet feilen og meldt fra til datatilsynet i sitt hjemland.

Samtidig tok han kontakt med Stayclassy.no for å opplyse nettbutikken om sikkerhetshullet og datalekkasjen, men der ble han kontant avvist.

– Jeg tok kontakt med kundeservice, men da jeg prøve å forklare dem problemet, la de bare på. Senere tok jeg kontakt med eier, Thomas Holstad, men heller ikke han tok meg alvorlig, sier Christensen, som så valgte å tipse Datatilsynet om saken.

Stayclassy valgte å deaktivere lykkehjulet da digi.no tok kontakt med dem i forrige uke.

Daglig leder Heine Øhrling i den norske nettbutikken ønsker ikke å stille til intervju med digi.no. Han unngår også alle kritiske spørsmål om praksisen rundt lykkehjulet, sikkerhetsbruddet og innsamling av epostadresser uten samtykke. 

– Vi skal følge våre interne rutiner når det kommer til varsling, og vi lurer aldri noen av våre kunder eller andre personer som har noe med oss å gjøre, skriver han.

Nedlesses med reklame

digi.no prøvde selv lykkehjulet. Vi huket av for at vi ikke ønsket å motta reklamehenvendelser, men i ettertid har innboksen vår blitt fylt opp av ulovlig markedsføring fra den norske nettbutikken. 

Frode Elton Haug er juridisk direktør i Forbrukertilsynet. Foto: Forbrukertilsynet

– Om bedrifter ønsker å samle inn epostadresser gjennom denne typen konkurranser, skal brukerne informeres om det. Samles opplysninger inn uten at brukerne opplyses, for så å sende ut markedsføring, bryter man loven, sier juridisk direktør Frode Elton Haug i Forbrukertilsynet til digi.no. 

Tilsynet har nettopp lansert en veileder med 31 punkter som skal gi norske bedrifter en god innføring i gjeldende regelverk.

Elton Haug mener Stayclassys praksis minner ham om en sak de hadde med Postnord i fjor. Da sendte selskapet uønsket annonsørinnhold til 800.000 mottakere. 

Les også

Bøter

Bruddet på markedsføringsloven fikk da konsekvenser for selskapet, og de ble ilagt en bot på 400.000 kroner. 

– Gebyrene som gis for å bryte loven ses i tråd med alvorlighetsgraden på forseelsen. Dette er en typisk sak der vi i tidligere saker også har fattet vedtak om at bedriftene må betale gebyr, sier Elton Haug til digi.no.

Fem dager etter at hullet og datalekkasjen er rapportert til Stayclassy.no, har Datatilsynet enda ikke mottatt noen henvendelse fra nettbutikken om datalekkasjen. 

– Dette høres ut som et brudd på personopplysningssikkerheten som virksomheten er pliktig å melde inn til Datatilsynet på egen hånd, sier juridisk seniorrådgiver Ida Småge Breidablikk til digi.no

Stayclassy har i administrasjonspanelet skrudd av GDPR-innstillingene til lykkehjulet. De har også deaktivert samtykkeerklæringen på epostinnsamling. Foto: Privat

Eget ansvar

Hun sier at også Datatilsynet har mulighet til å ilegge nettbutikken ulike sanksjoner for å rette opp i eventuelle mangler, og i ytterste konsekvens også gi dem et gebyr for brudd på regelverket.

– Det er virksomhetens ansvar å sikre at de oppfyller kravene i personvernforordningen, både når det gjelder å ha tilstrekkelig sikkerhet rundt personopplysningene de behandler og å følge opp hendelser som denne, samt de kundene som er berørt.

Småge Breidablikk sier de mottar mange tips gjennom sin meldetjeneste, og at slike meldinger blir vurdert når de kommer inn etter strenge prioriteringskriterier. 

– Tips som kommer inn til oss blir vurdert, men på grunn av saksmengden kan vi dessverre ikke prioritere å ta tak i alle som kommer inn, sammenfatter hun.

digi.no prøvde å oppnå kontakt med eier, Thomas Holstad, i Stayclassy.no uten hell.

Les også

Kommentarer (12)

Kommentarer (12)
Til toppen