Flera kunders namn och e-postadresser har varit öppet synliga på LG Electronics nordiska webbsidor. Det kan Svenska Yle nu avslöja. På teknikföretaget var man medveten om problemet i minst två veckor utan att fixa det.
Helsingforsbon Per Granqvist skulle för ett par veckor sedan kontakta LG Electronics för att fråga företaget om deras senaste telefonmodell.
Han vände sig därför till företagets webbplats, och en chattsida där.
– När jag öppnade chattfönstret märkte jag att där stod någon annan persons namn och e-postadress. Jag fick en olustig känsla av det. E-postadresser kan missbrukas, påpekar han för Svenska Yle.
Efter att han hade chattat klart så bad han en bekant till honom att gå in på LG Electronics webbplats med en annan apparat och då fanns Granqvists uppgifter där - fullt synliga för vem som helst.
– Hur har företaget kunnat missa att formuläret visar kontaktinformationen åt följande besökare? Det förstår jag inte. Det är något som man borde lägga märke till när webbplatsen testas.
Granqvist har totalt sett tiotals olika kundnamn och e-postadresser från Finland, Sverige, Norge och Danmark under de korta besök han har gjort på teknikföretagets webbsidor på sistone.
Det är oklart under hur lång tid uppgifterna har läckt ut, men det handlar troligen inte om mer än några veckor.
Därmed är det också svårt att säga hur många personer som har drabbats, eller hur många som har missbrukat uppgifterna och till vad.
LG Electronics informerades
Granqvist informerade företagets kundtjänst och svenska kontor i Stockholm om problemet redan för drygt två veckor sedan - den 13 februari.
Men personuppgifter läckte fortsättningsvis ut så sent som på onsdag den här veckan.
– Ändå är det något som ganska snabbt borde kunna rättas till. Ett fel som detta borde prioriteras, kommenterar Granqvist.
Det här har i högsta grad skadat hans förtroende för varumärket LG.
– Det känns inte bra. Jag får fundera lite på hur det blir med att köpa den där telefonen jag frågade om via chatten.
Han tillägger ändå att de av teknikföretagets representanter som han har varit i kontakt med har agerat sakligt, vilket gör att det känns bättre.
– Men tyvärr är det ändå inte de personerna som rättar till fel på webbsidan.
"Nu vet jag hurdan kvalitet LG har"
Svenska Yle vände sig till några ytterligare personer vars namn och e-postuppgifter hade läckt ut på LG Electronics webbplats.
En av dem, som ville vara anonym och som vi kan kalla för Johan, svarade snabbt och upprört:
– Läckan är en kränkning av min och andras personliga integritet. Det påverkar konkret mitt förhållande till LG Electronics på ett negativt sätt. Nu vet jag hurdan kvalitet deras produkter och tjänster har. Jag kommer också att avråda alla jag känner från att skaffa företagets produkter på grund av deras bristfälliga kundtjänst.
Det skulle ha varit rimligt av LG Electronics att reagera på något annat sätt än med tystnad gentemot sina kunder
Johan
Johan är dessutom kritisk till att chattkunderna inte alls har informerats om problemet. Det första han hörde om saken var då Svenska Yle tog kontakt.
– Det skulle ha varit rimligt av LG Electronics att reagera på något annat sätt än med tystnad gentemot sina kunder. Tystnaden innebär att de är nonchalanta och överlägsna, eller att de inte vågar ta kontakt, säger han.
Nya EU-regler ändrar på läget
För tillfället behöver ett företag inte heller meddela sina kunder om att deras uppgifter har läckt ut, men det är att rekommendera att man gör det.
Däremot kommer det från och med den 25 maj 2018 att krävas att man informerar kunder om de har råkat ut för en dataläcka, i och med EU:s nya dataskyddsförordning.
– Om det nu skulle ha varit juni 2018 så kunde LG Electronics ha fått böter för det här, säger Tomi Mikkonen som är vd på konsultföretaget Privaon som specialiserar sig på dataskydd.
För tillfället kan företag inte få böter för att läcka personuppgifter. Privatpersoner kan däremot få det, men tröskeln för det är mycket hög.
De nya EU-reglerna gör det lättare att straffa företag för ovarsam hantering av personuppgifter och dataläckor. Till exempel ska dataombudsmannen kunna debitera en avgift för brott mot dataskyddsförordningen.
Regeringen föreslog på torsdagen, på basis av EU:s linje, att den här avgiften ska vara högst 20 miljoner euro eller fyra procent av ett företags totala årsomsättning.
Kan orsaka kunderna problem
Att namn och e-postadresser kopplat till ett specifikt företag läcker till vem som helst är en säkerhetsrisk för kunderna.
Uppgifterna kan till exempel användas för att retas med någon eller för att utföra bedrägerier.
Johan påpekar att läckan hos LG Electronics kommer att påverka hans och andra finländares uppfattning om chattjänster på nätet, samtidigt som sådana här tjänster håller på att bli allt vanligare i samhället.
– Teknikföretaget gjorde en stor miss och sabbade samtidigt för andra chattjänster.
Han frågar sig om folk till exempel kommer att våga vända sig till Garantistiftelsens skuldrådgivningschatt eller till en hälsovårdschatt i framtiden.
– Folk kan nu ha i bakhuvudet att obehöriga personer kan få reda på att de har använt vissa chattar och att uppgifter de anger kan läcka ut.
Han tillägger att LG Electronics nu har visat att inte ens ett stort teknikföretag klarar av att hemlighålla folks personuppgifter.
En annan av de drabbade frågade tidigare den här veckan LG Electronics via chatten varför hans namn och e-postadress läcker ut.
Svaret han fick var: “Vi har för tillfället små tekniska problem gällande det här och IT-avdelningen löser dem som bäst”.
"SMÅ problem?", svarade kunden.
Problemet är över åtminstone tills vidare
LG Electronics stängde av chattjänsten på sina nordiska sidor på torsdagen efter att Svenska Yle hade börjat ställa frågor.
Därmed slutade personuppgifter att läcka ut via chatten.
LG Electronics i Norden ställde inte upp på en telefonintervju trots att vi gav företaget flera frågor på förhand och en två dagar lång svarstid.
Man svarade ändå på en del av våra frågor i ett uttalande per mejl.
I mejlet sägs bland annat att kundernas integritet är en mycket viktig fråga.
Företaget skriver också att det beklagar att problemet inte fixades snabbare och att man kommer att ta en titt på sina interna rutiner för att se till att problemet inte upprepas.
LG Electronics påpekar att läckan orsakades av ett tekniskt fel i en extern tjänst som en tredje part erbjöd. Samtidigt var det ändå en komponent som man hade integrerat på sina egna webbsidor.
Företaget lät bli att svara på varför man inte hade skridit till åtgärder tidigare trots att man hade varit medveten om problemet i minst två veckor.
Det förblev också oklart varför man hade låtit bli att informera de drabbade kunderna om läckan.
Svenska Yle har bett dataombudsman Reijo Aarnio kommentera fallet men han har inte varit anträffbar.