11.6.–18.6 - Live Scoring - Seuraa suomalaisten menestystä

[15][23]
KilpailuaSuomalaista

Golfareiden tietoturva Suomessa? Mitä tehdä?

Etusivu Foorumit Yleistä Golfareiden tietoturva Suomessa? Mitä tehdä?

Esillä 25 viestiä, 1 - 25 (kaikkiaan 130)
  • Julkaisija
    Artikkelit
  • Eli palstalle kysymys, eräällä Etelä-Suomen kentällä on golfkentän ajanvarauksista vastaava henkilö kehuskellut kuinka pääsee kenen tahansa osoite- syntymäaika ja puhelinnumerotietoihin käsiksi ja selailee näitä omaksi huvikseen. On juttujensa mukaan ottanut näistä osan ”omaan talteen”.

    Mitä pitäisi tehdä, ei taida olla ihan GDPR-asetuksen mukaista touhua, kenelle pitäisi ilmoittaa?

    Voit ilmoittaa tietosuojavaltuutetulle, jos epäilet, että jokin organisaatio tai henkilö käsittelee henkilötietoja tietosuojasäännösten vastaisesti.

    Epäkohta voi tarkoittaa esimerkiksi, että

    henkilötietojen käsittelylle ei ole lainmukaista perustetta tai
    henkilötietoja käsitellään liian laajasti käsittelyn tarkoitukseen nähden.

    https://tietosuoja.fi/ilmoitus-tietosuojavaltuutetulle

    KL1

    Kyseisen kentän toimitus-/toiminnanjohtaja voisi myös olla hyvä kohde lähestyä. Ketä sitten lähestyykin, on syytä olla koko lailla pitäviä todisteita väärinkäytöksistä.

    Missä vaiheessa muuten syntymäaika on päätynyt golfseuran tietoon? En aivan äkkiseltään muista ainakaan oman kotiseurani sitä koskaan kysyneen. Yhtiöhän ei sitä ole minulta kysynyt. Ehkä osakkeenomistajilta on kysytty, siis henkilötunnuksen muodossa.

    NexGolfissa näkyy olevan alustuksessa mainitut tiedot.

    Kyseisen kentän toimitus-/toiminnanjohtaja voisi myös olla hyvä kohde lähestyä.

    Kyseinen henkilö on määräävässä asemassa ja kentän asioista vastaa vain muutama henkilö jotka eivät toisiaan ilmianna. On paljon muutakin, kentän talousasiat olivat joskus ihan sekaisin ja samassa rytäkässä iso osa jäsenistä häipyi muualle.

    Pelaajien puhelinnumeroja on käytetty esim. somessa stalkkaamiseen ja esim. kotiosoitteita käyty urkkimassa.

    Kyseinen henkilö on määräävässä asemassa ja kentän asioista vastaa vain muutama henkilö jotka eivät toisiaan ilmianna

    Juuri tästä syystä tietosuojavaltuutettu on oikea osoite

    KL1

    NexGolfissa näkyy olevan alustuksessa mainitut tiedot.

    Puhelinnumero ja katuosoite ovat näköjään valinnaisia kenttiä, syntymäaika jostain syystä pakollinen. Onko kellään käsitystä miksi näin? Mihin syntymäaikaa tarvitaan?

    Luulisin että on eBirdien takia, jotta tasoitushistoria pysyy oikealla henkilöllä vaikka seura ja järjestelmä vaihtuvat. Myös nimi vaihtuu ihmisillä välillä ja silti pitäisi pysyä historia tallessa. Varmaan siinä tuo syntymäaika on pysyvänä tietona tuomassa helpotusta.

    Syntymäajan perusteella varmaan helppo yksilöidä saman nimiset henkilöt toisistaan. Seura näkee mihin peliryhmään kuuluu junnut,midit,sennut… , yhteystiedoilla saa tietoa kentältä, esim lähdön peruuntumisesta.

    Se jos joku uteliaisuuttaan katselee näitä tietoja niin on rikos.

    Voit ilmoittaa tietosuojavaltuutetulle, jos epäilet, että jokin organisaatio tai henkilö käsittelee henkilötietoja tietosuojasäännösten vastaisesti.

    Hyvä neuvo, heidän sivuilta löytyy ohjeet. Osalla jäsenistä saattaa olla myös esim. salainen puhelinnumero tai jopa turvakielto, joka on vaarantunut.

    Kyseinen henkilö kehuskeli myös että voi halutessaan esim. nollata kenen tahansa pelaajan salasanan jne. Todella sairasta toimintaa.

    Katsoin juuri Golf Talman sivuilta jäsenhakemuslomakkeen. Kyllä siellä kysytään mm. henkilön syntymäaika, osoite, puhelinnumero ym. Näitä tietoja tarvitaan jo siitäkin syystä, että tiedetään henkilön sukupuoli, jäsenryhmä (seniori, juniori ym).

    PG

    https://golfpiste.fi/golfbox/seuraTunnukset.asp?lang=fi

    Tuon vanhan linkin mukaan kaikilla suomalaisten golfkenttien jäsenillä on oma tunnus GolfBox sovellukseen. Jos väite pitää edelleen paikkansa, niin Golfboxiin kirjautuminen linkissä mainitun oletussalasanan avulla onnistunee, vaikkei olisi kyseistä sovellusta koskaan käyttänyt.

    Kotiseurani siirtyi vuosi sitten Golfboxista Wiseen, jota myös syntymäaika kiinnostaa. Mielestäni pelkkä syntymävuosi pitäisi riittää.

    Tuon vanhan linkin mukaan kaikilla suomalaisten golfkenttien jäsenillä on oma tunnus GolfBox sovellukseen. Jos väite pitää edelleen paikkansa, niin Golfboxiin kirjautuminen linkissä mainitun oletussalasanan avulla onnistunee, vaikkei olisi kyseistä sovellusta koskaan käyttänytkään.

    Ei hyvää päivää, aikamoinen pommi. Tuosta tuskin moni tietää.

    Tuonne golfboxin kirjautumiseen tarvitsee oman jäsennumeronsa sekä syntymäaikansa. Ja Golfbox on enää käytössä tällä hetkellä viidellä kentällä Suomessa ajanvarauksessa.

    KL1

    Mielestäni pelkkä syntymävuosi pitäisi riittää.

    Etenkin, kun golfissa sarjat menevät syntymävuoden mukaan.

    Tosin samaan golfseuraan voi eksyä kaksi täysin samannimistä henkilöä toista etunimeä ja syntymävuotta myöten. Muistan omasta lapsuudestani, kun kansakoululuokalleni tuli jälkikäteen poika, jolla oli tasan sama koko nimi kuin minulla ja syntymävuosi tietty sama. Sen ajan systeemeillä meitä ei pystytty riittävän hyvin erottelemaan, joten tuo poika joutuikin menemään eri kouluun.

    Ja Golfbox on enää käytössä tällä hetkellä viidellä kentällä Suomessa ajanvarauksessa.

    Mutta kaikki liiton kisat kulkevat GolfBoxin kautta.

    Katselin erään hyvin tunnetun kentän tietosuojaselostetta, niin onhan se yllättävää luettavaa. Melko laajasti eri tietoja kerätään ja siitä ketkä tietoja saavat käyttää, on hyvin ylimalkainen rajaus. Uusilta jäseniltä kysytään, syntymäaika, puhelinnumero, osoite ja tasoitus.

    Keräävät myös jäsentensä ip- ja sijaintitietoja.

    Melko kylmäävää jos noita tietoja käytetään väärin.

    Mutta kaikki liiton kisat kulkevat GolfBoxin kautta.

    Näin juuri, kaikki ovat Golfboxissa, halusi tai ei. Tulee kyllä jostain syystä Vastaamo-case tästä ketjusta mieleen.

    PG

    Tuonne golfboxin kirjautumiseen tarvitsee oman jäsennumeronsa sekä syntymäaikansa.

    Mikäli linkin ohje pätee edelleen, niin myös vieraan henkilön jäsennumerolla ja syntymäajalla pääsee kirjautumaan Golfboxiin, edellyttäen että käyttöön oikeutettu henkilö ei ole koskaan käyttänyt Golfboxia siihen kirjautuneena, eikä siis ole vielä vaihtanut salasanaansa. (Näitä lienee Suomessa noin satatuhatta).

    Toivottavasti joku, joka ei ole GolfBoxiin vielä koskaan kirjautunut, kokeilee siihen kirjautumista omalla jäsennumerollaan ja syntymäajallaan.

    Tämän kautta sen pitäisi onnistua https://golfbox.golf/#/. (Jos esim. Takahikiä Golfin seuranumero olisi fi-187 ja siellä pelaavan jäsenen numero 1234 ja syntymäpäivä 5.8.1971, niin Käyttäjänimi on fi-187-1234 ja Salasana 050871).

    Jos kirjautuminen ei kuitenkaan onnistu, niin todennäköisesti linkin ohje ei enää päde, eikä mahdollista tietoturvariskiä ole.

    Jos kirjautuminen onnistuu, seuraavaksi kannattaa katsoa, mitä Muokkaa profiilia -kohdan takaa löytyy. Jos sieltä ei löydy mitään, niin hyvä niin. Mutta, jos sieltä löytyy kotiseuralle annetut tiedot (osoitteet, puhelinnumerot, syntymäaika…), niin kieltämättä tietynasteinen tietoturvariski on ollut olemassa. (Nyt tämä puolijulkinen salasana kannattaa/pitää vaihtaa).

    Vaikkei Golfboksia Suomessa enää millään kentällä ajanvarauksiin käytettäisikään, niin silti sillä on mahdollista varata aikoja niiltä ulkomaisilta kentiltä, jotka sen sallivat. (Kokeilin erästä Tanskan kenttää. Tuntui onnistuvan, mutten vienyt varausta loppuun asti).

    Mielestäni Golfbox kaikkine ominaisuuksineen on vailla vertaa, mutta onko esille tuomani tietoturvariski mahdollinen vai ei?

    P.S. Golfboxin ajanvarauksissa näkyy pelaajien jäsennumerot, mutta halutessaan niitä saa muutenkin selville. Syntymäaikoja voi kalastella eri tavoin. Esim. erilaisista matrikkeleista löytyy helposti.

    Katsoin juuri Golf Talman sivuilta jäsenhakemuslomakkeen. Kyllä siellä kysytään mm. henkilön syntymäaika, osoite, puhelinnumero ym. Näitä tietoja tarvitaan jo siitäkin syystä, että tiedetään henkilön sukupuoli, jäsenryhmä (seniori, juniori ym).

    Tuohon sukupuoleen liittyen, ajattelin huvikseni vaihtaa ensi vuodeksi sukupuoleni naiseksi. Saanko sitten osallistua naisten kisoihin?

    Edit. Saako enää edes kysyä sukupuolta?

    KL1

    Tuohon sukupuoleen liittyen, ajattelin huvikseni vaihtaa ensi vuodeksi sukupuoleni naiseksi. Saanko sitten osallistua naisten kisoihin?

    Saat.

    KL1

    Keräävät myös jäsentensä ip- ja sijaintitietoja.

    Tuohon ei ole minkäälaista perustetta. Ei muuta kuin ilmoitus tietosuojavaltuutetulle.

    Toivottavasti joku, joka ei ole GolfBoxia vielä koskaan käyttänyt, kokeilee siihen kirjautumista omalla jäsennumerollaan ja syntymäajallaan.

    Testasin, ei toiminut. Ei toiminut toisellakaan joka ei ole koskaan käyttänyt.

    EDIT: toimii, kun tiedot syöttää muodossa fi-ss-xxxx, jossa ss=seuratunnus ja XXXX= jäsennumero. Syntymäaika muodossa ppkkvv

    Erikoiselle tuntuu, että kerättäisiin ip- ja sijantitietoja. Mikähän seura tai golfohjelma tuon tekee? Jos näin on, niin VPN-käyttöön. Epäilen kyllä tuota väitettä.
    Itse en pelkää näitä golfohjelmia ja niiden vaatimia tietoja. Tiedot saa kyllä tarvittaessa monesta eri kohteesta. Puhelinnumerot Fonecta, sieltä myös osoite ellei ole laitettu salaiseksi. Tälläkin palstalla ahkerimmin kirjoittavan henkilön puhelinnumero, osoite löytyy helposti tuolta Fonectasta.

    Tässä erään seuran tiedote näistä henkilötietojen keräämisestä:

    ”Henkilötietojen kerääminen ja julkaisu
    Jokaisen golfarin tiedot kerätään seuroilta Suomen Golfliiton keskusrekisteriin automaattisesti seurojen omista rekistereistä. Tietoja käytetään hyödyksi Golfliiton painattamissa jäsen- ja tasoituskorteissa, seurojen omissa tarkoituksissa jne., joissa tietoja voidaan käyttää normaalisti.

    Mutta kun tietoja tarvitaan muissa yhteyksissä, kuten kilpailuilmoittautumisissa ja ajanvarauksessa muihin kuin omaan seuraan, tarvitaan henkilön suostumus tietojen käyttöön. Samoin julkaisuun internetissä tarvitaan pelaajan suostumus.

    Julkaiseminen
    Pelaajan jäsennumero, nimi, seura ja tasoitus ovat ne tiedot, joita pelaajasta näytetään keskusrekisterissä, kun sitä käsittelee vieras seura. Tarkemmat henkilötiedot ovat käytettävissä pelaajan omalla seuralla.

    Tällä suostumuksella pelaaja antaa suostumuksen myös siihen, että kilpailutulokset ja tasoitustiedot tullaan julkaisemaan internetissä.

    Suostumus
    Henkilötietojen käyttöä varten tarvitaan siis henkilön oma yksilöity, vapaaehtoinen ja tietoinen suostumus. Keskusrekisteriin on rakennettu oma menettelyohjelma suostumuksen kirjaamiseksi rekisteriin. Rekisterissä on näin erikseen kohta, joka täytetään kun henkilö on antanut suostumuksensa. Mikäli jäsen ei ole antanut suostumusta, tietää rekisteri sen automaattisesti ja ei näytä tietoja niissä tapauksissa, joissa tietojen julkaisemiseksi suostumusta tarvitaan. Tällöin kieltäytyneestä pelaajasta näytetään vain sallittu tieto, esim. tasoituslistalla jäsennumero ja pelkkä tasoitus ilman nimeä.”

    Erikoiselle tuntuu, että kerättäisiin ip- ja sijantitietoja. Mikähän seura tai golfohjelma tuon tekee?

    Joissain seuroissa varauksen vahvistaminen on mahdollista sovelluksen kautta jos/kun olet kentän alueella. Ainakin tähän käytetään sijaintitietoa.

    Edit: täältä löytyy tarkemmat erittelyt kerättävistä tiedoista https://www.nexgolf.fi/tietosuoja/

    Erikoiselle tuntuu, että kerättäisiin ip- ja sijantitietoja. Mikähän seura tai golfohjelma tuon tekee?

    Ihan esim. Nexgolf kerää kyseisiä tietoja:

    https://www.nexgolf.fi/tietosuoja/

Esillä 25 viestiä, 1 - 25 (kaikkiaan 130)
Vastaa aiheeseen: Golfareiden tietoturva Suomessa? Mitä tehdä?

Etusivu Foorumit Yleistä Golfareiden tietoturva Suomessa? Mitä tehdä?