nrk.no

Lett å trakassere via Vipps

Kategorier: Apps, Samfunn & Teknologi og forbruker

KAN MISBRUKES: 4,2 millioner nordmenn har Vipps-appen, men den kan enkelt misbrukes advarer IT-konsulent. Foto: Martin Gundersen/NRK


IT-konsulent Cecilie Wian reagerer på at Vipps gjør for lite for å sikre brukerne mot trakassering. Vipps mener selv at omfanget av trakassering er lite og at de har innført tiltak mot misbruk.

– Jeg mener Vipps har vært uansvarlig naive. De lager infrastruktur uten å ha tatt inn over seg at trakassering skjer og det gjør at det er vanskelig å ha tillit til dem, sier Cecilie Wian til NRK.

Wian jobber som konsulent i IT-sektoren og på fritiden undersøker hun hvordan populære tjenester kan misbrukes. Hun mener at Vipps burde gjøre mer for å beskytte sine brukere mot digital trakassering.

Vipps tillater nemlig nettbutikker å bruke Vipps som betalingsmåte, men det er ingen kontroll på om du legger inn ditt eget telefonnummer. Dermed kan en Vipps-bruker få pushmeldinger og beskjeder om å akseptere en betaling de aldri har bedt om.

Under Sikkerhetsfestivalen i Lillehammer presenterte Wian hvordan Vy kan brukes til å sende nærgående betalingsforespørsler. Ved å legge inn en reiserute med til-og-fra kan man gi beskjeden «jeg vet hvor du bor».

– Det stresser folk, advarte Wian.

Wian fant også en metode for å sende uønskede bilder over Vipps gjennom appens funksjon for gruppeoppgjør.

– Det burde vært helt 100 prosent unødvendig. Det er ikke en datingapp for å si det sånn.

MER BESKYTTELSE: Cecilie Wian er opptatt av at digitale tjenester baker inn mest mulig beskyttelse for sine brukere. Foto: Martin Gundersen/NRK

Cecilie Wian kjenner til et tilfelle der Vipps har blitt brukt til å trakassere noen over en lengre periode. NRK har snakket med kvinnen som ikke ønsker å stå frem med navn av frykt for at det kan forverre den plagsomme atferden.

– Jeg opplevd å bli nedkjørt av forespørsler om kjøp via Vipps fra nettbutikker og medlemsorganisasjoner, sier hun.

Kvinnen forteller å ha fått betalingsforespørsler via Vipps opptil 20 ganger i døgnet, gjerne om natten. Noen av beløpene har vært på titusenvis av kroner og hun har vært redd for å trykke «betal» ved en feil.

– Det har vært kjempebelastende for meg og min familie, sier hun.

Hun forteller at hun selv ikke har meldt fra om trakasseringen til Vipps gjennom kundeservice eller noen av deres andre formelle kanaler. Hun har ikke trodd at det vil hjelpe.

Ikke stort omfang av misbruk

NRK har forelagt Vipps og Vy metodene for å misbruke tjenestene deres. Vy opplyser at de ikke kjenner til at deres integrasjon med Vipps har blitt misbrukt.

– Det er en sørgelig kreativ måte å plage andre på som vi selvfølgelig tar veldig alvorlig. Heldigvis er det forsvinnende få hendelser, sier kommunikasjonssjef Caroline Lunde i Vipps.

– Vi har ikke funnet noen rapporterte saker på akkurat dette her i år, bortsett fra i et tilfelle hvor en telefon har blitt stjålet. Samtidig utelukker vi ikke at det har skjedd, sier Lunde.

TAR ANSVAR: – Vi har et stort ansvar for å gjøre det vanskelig å bruke Vipps til å plage andre, sier Caroline Lunde i Vipps. Foto: Vipps

Cecilie Wian presenterte i fjor Vipps for måter å misbruke produktet deres. Lunde forteller at de har brukt mye tid på å hennes læring i produktutviklingen. Det er blant annet enkelt å rapportere og blokkere brukere, og det en strenge begrensninger på hvordan bilder blir synliggjort for andre brukere.

Vipps har også lagt inn en sperre som hindrer uvedkommende å igangsette mange betalingsforespørsler på kort tid.

Lunde understreker at Vipps tar saker om trakassering på alvor og at de oppfordrer brukere til å rapportere misbruk av deres tjeneste. Se hvordan du kan gjøre det under:

RAPPORTER: Dersom Vipps-brukere opplever trakassering eller andre former for misbruk oppfordrer Lunde til å rapportere. Skjermbildet viser hvordan du kan blokkere brukere som tar uønsket kontakt. Illustrasjon: Vipps

Wian mener det er bra at Vipps har lært, men hun skulle likevel sett at de hadde gjort mer for å beskytte brukerne mot trakassering ettersom det er en forventning om at man skal ha Vipps. Hun vil at Vipps-brukere enkelt skal kunne hindre nettbutikker å bruke deres telefonnummer til å bestille varer.

Vipps mener en slik sperring ikke er en god løsning:
– En konsekvens av en slik sperring er at du får en veldig begrenset nytte av Vipps da dette er kjernefunksjonalitet. Hvis du utsettes for falske betalingsforespørsler vil vi heller anbefale i å skru av push-varsler fra Vipps. Da slipper man å se betalingsforespørsler som popper opp på skjermen din, for eksempel midt på natten – slik offeret har opplevd. Varslene vil også forsvinne inni i selve appen etter 5 minutter, sier Lunde.

Dette er Vipps sine råd dersom du opplever trakassering eller annen uønsket oppmerksomhet:

  • Dersom du opplever falske betalingsforespørsler fra Vipps eller annen mistenkelig trafikk, avbryt alltid, og rapporter gjerne til oss.
  • Dersom noen sender deg falske betalingsforespørsler kan du blokkere push-varsler fra Vipps. Da kan du fortatt bruke Vipps når du selv ønsker, men slipper å forholde deg til forespørsler som ikke er fra deg selv. Betalingsforespørsler vil også forsvinne fra hjem-skjermen i Vipps etter 5 minutter.
  • Rapporter alltid til kundeservice. Enhver alvorlig brukeropplevelse blir tatt på det største alvor. Dersom du utsettes for trakassering vil vi også sterkt anbefale å anmelde til politiet, da slik oppførsel dessverre ofte strekker seg over flere kommunikasjonskanaler enn Vipps.
  • Benytt innebygde mekanismer for å blokkere uønskede kontakter – både i Vipps-appen og ellers for e-posttjenesten og i mobilen.

Kan misbrukes

For noen år siden varslet Cecilie Wian dagligvarekjedene Rema og NorgesGruppen om at appene deres kunne misbrukes til overvåkning fordi det var enkelt å se andres handlehistorikk. Da Rema ikke hadde gjort noen endringer på fem måneder kontaktet hun NRK. Det førte frem.

NorgesGruppen var ikke like raske med å gjøre endringer, og i etterkant fikk de en bot på fem millioner av Datatilsynet.

Wian mener flere burde spørre seg: «Hva vil verdens verste person gjøre med denne appen?»

BEVISST SITT ANSVAR: Rachel Troye ved AHO mener designere og bransjen er klar over at deres tjenester kan misbrukes. Foto: Lasse Fløde

– Det er viktig at personer som Wian utforsker og utfordrer aktører på markedet, og godt å se at Vipps implementerer diverse tiltak som begrense misbruk, sier instituttleder for design Rachel Troye ved Arkitektur- og designhøgskolen i Oslo (AHO).

Hun mener at designere i stor grad er klar over sitt ansvar og at bransjen kjenner til utfordringene med misbruk.

– Vi må alltid være på vakt for uønskede konsekvenser, og derfor teste ut løsninger tidlig og gjøre løpende vurderinger ettersom produkter tas i bruk. Dersom uønskede konsekvenser dukker opp må det gjøres tilpasninger. Jeg mener at dersom samfunnsnytten er stor og det er liten grad av uønsket konsekvenser, må man vurdere tiltak nøye, sier Troye.

29 kommentarer

  1. Jeg er ikke tilhenger av trakassering eller noe, men stiller spørsmålstegn om hvor stort problem dette _egentlig_ er. At det er _mulig_ å sende uønskede meldinger betyr ikke at det er et utbredt problem.

    Svar på denne kommentaren

    • Men det er et problem for de som blir rammet. Tenker du at siden ikke mange/du blir rammet så er ikke dette et problem? Slik kan man tenke om det meste…

    • Espen Kleven (svar til Ola Potet)

      Istedet for å slenge ut en ubegrunnet kommentar om at hun har ødelagt appen for deg og «mange andre», så kunne du med fordel si hva som gjør at appen nå er ødelagt?

    • Martin Gundersen (NRK) (svar til Ola Potet)

      Æ-appen krever nå at man kan dokumentere å være eier av et kontonummer. Vi ber om en høflig tone i kommentarfeltet og kommer til å redigere ut kommentarer dersom de er for off-topic eller i liten grad bidrar til en interessant samtale.

  2. Meget god artikkel!

    Her i Norge er vi heldige med at folk har relativt høy tillit til hverandre og stort sett er snille og greie med andre. Det gjenspeiler seg jo også i at Vipps – som Wian jo avdekker kan misbrukes til de grader – rapporterer svært få slike hendelser.

    Det gir derfor DNB svært få insentiv til å ta tak i hvordan plattformen deres kan misbrukes i dag.

    Men jeg har også hørt rykter om at DNB har løse planer om å utvide Vipps utenfor Norge. Om det blir en realitet, så vil denne problematikken fort bli mye mer aktuell, så det vil jo være i Vipps sin interesse å komme dette i forkjøpet allerede nå.

    Svar på denne kommentaren

    • Heisann. Det er ikke DnB alene som eier vipps. Det er DnB sammen med Sparebank1 og noen småaksjonærer. Ingen av dem eier mer enn 50% og kan således ikke fatte vedtak alene.

  3. Et problem med vipps er jo nettopp dette med mobilnummer. Vi selger mye via Finn og jeg, kvinne, foretrekker bruke mannlig samboers navn for betaling. Vi får nok slibrige kommentarer på Finn iom at kontoen er i mitt navn, folk trenger ikke nummeret mitt også. Kunne man hatt et «brukernavn», og for å handle på nettet må jeg legge inn både brukernavn og tlf nummer? For at du skal betale meg på Finn, holder det med brukernavn?

    Svar på denne kommentaren

    • Enig. Noen ganger er det i overkant intimt å handle på finn når jeg får tlf og adresse til yngre personer av motsatte kjønn. Mulighet for anonymitet er viktig!

  4. Wenche Svenning

    Fin artikkel. Tenkte å følge rådet om åskru av push-varsler, men det er umulig å finne det ordet i min Vipps, har sjekket innstillinger, varsler, betalinger, alt, men finner ikke ordet der så jeg kan skru av.

    Svar på denne kommentaren

  5. Dette er et ikke-problem, de skriver til og med løsningen i artikkelen… Blokker brukeren som trakasserer deg eller sender deg betalingsforespørsler.

    Utover det håndterer man ikke trakassering på Vipps noe annerledes enn all annen trakassering, som selvfølgelig er en ugrei ting.

    > Hun forteller at hun selv ikke har meldt fra om trakasseringen til Vipps gjennom kundeservice eller noen av deres andre formelle kanaler. Hun har ikke trodd at det vil hjelpe.

    Altså… Hun enser ikke å blokkere personen i appen, hun tar ikke kontakt med Vipps for å prøve å finne en løsning, men løper rett til media. Detta stinker oppmerksomhet lang vei.

    Svar på denne kommentaren

    • Ingvill M (svar til Fredrik)

      Jeg tror ikke du har lest artikkelen eller skjønt problemstillingen, kvinnen det gjelder har bedt om å forbli anonym. Hvordan passer det med «Detta stinker oppmerksomhet lang vei.»?

    • Martin Gundersen (NRK) (svar til Fredrik)

      Det går ikke an i Vipps å blokkere muligheten for å trigge en betalingsforespørsel fra nettbutikker eller organisasjoner. Det kommer frem i artikkelen.

      Jeg minner også om en høflig og saklig tone i kommentarfeltet. Det er også tydelig at personen ikke har «løpt til media».

  6. Tore Magnus Pettersson

    Hvorfor velger ikke nrk et bilde av artikkelens helt, Cecilie Wian, til å fronte denne saken…?
    Er det ikke egentlig litt søkt av nrk å heller velge et bilde av den unge freshe Vippse-dama… (?)

    Svar på denne kommentaren

    • Iom. at også «Vippse-dama» Caroline Lunde kommenterer i artikkelen syns jeg det er helt naturlig at hun også er representert med et bilde. Dette på samme måte som også de to andre damene som artikkelen er laget rundt, Cecilie Wian inkludert med bildet øverst av de tre- også :o)

    • Martin Gundersen (NRK) (svar til Tore Magnus Pettersson)

      På forsiden av NRK.no er artikkelen frontet med sitat fra Vipps. Da er det naturlig av Vipps sin talsperson er avbildet. Dersom man hadde brukt et sitat fra noen andre ville man brukt bilder av dem.

    • Les S. Kikkelig (svar til T Karlsen)

      Tror du har misforstått. Avsender vet ikke hvor mottakeren bor, men pga integreringen med Vy så vil mottakeren (offeret) få opp sin egen lokasjon og tro det betyr at avsender vet hvor offeret bor.

  7. Løsnin Gsorientert

    En enkel løsning på dette problemet: En opt-in funksjon (aktiveres i innstillingene) hvor man velger om betalinger kan initieres vha ditt telefonnummer. Så kan man ha en knapp i grensesnittet for å åpne tilgangen i f.eks. 10 minutter.

    Svar på denne kommentaren

  8. En annen ting jeg har reagert på – man kan benytte Vipps som telefonkatalog. Jeg har sendt de mail, og det er ingen måte å reservere seg mot at navnet dukker opp i resultatlisten…

    Jeg mener dette kunne vært løst på en bedre måte. I resultatlisten så kan man enten vises med navn, eller vises kun med nummer som indikerer at man er kunde av vipps. Siste case er dersom telefonnummeret er ugyldig eller ikke eksisterer hos Vipps (personen er ikke kunde av Vipps).

    Svar på denne kommentaren

  9. Vipps tillater anonym bruk av tjenesten sin i nettbutikker. Det er problemet og det burde ikke være tillatt.

    Det kan superenkelt løses med at betaling med Vipps i nettbutikk krever identifisering og autentisering (eksisterende funksjon i Vipps app) før man evnt kan starte trakassering.

    Ulempen er at det er litt tungvint, og dermed har Vipps ikke incentiver til å lage en slik løsning.

    Svar på denne kommentaren

  10. Dette kan da vel lett løses av Vipps på samme måte som med kredittkort sin CVC kode? Ha en tilfeldig to eller tresifra kode i Vipps som må tastes inn sammen med tlf nr. Matcher ikke koden feiler forespørselen.

    Hvis noen titter over skulderen kan brukeren velge å generere en ny kode i Vipps appen.

    Da bør man vel forsatt få lett nettbetaling o.l. med betraktelig mindre sjanse for misbruk.

    Svar på denne kommentaren

Legg igjen en kommentar til Robert Sæther Avbryt svar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *. Les vår personvernserklæring for informasjon om hvilke data vi lagrer om deg som kommenterer.