It-kriminelle stjæler kunders e-mailadresser fra Danmarks største engroskæde

Den landsdækkende engroskæde Metro blev i sidste uge udsat for et datatyveri, hvor oplysninger som navn, adresse, CVR-nummer og e-mailadresse blev listet ud gennem et sikkerhedshul på hjemmesiden metro.dk

Det betyder, at informationerne fra en del af engros-kædens kunder er kommet i hænderne på en eller flere it-kriminelle. Oplysningerne har kunderne givet til kæden for at få oprettet et såkaldt Metro-kort.

Metro er Danmarks største engroskæde for momsregistrerede virksomheder og har fem varehuse i Jylland og på Sjælland:

»Vi er enormt kede af det her, og det er bestemt ikke noget, vi havde lyst til skulle ske,« siger marketingchef i Metro Morten Stryhn til Version2.

Den ulovlige indtrængning er nu meldt til politiet, og af hensyn til efterforskningen kan marketingchefen ikke gå i detaljer med indbruddet.

Men han oplyser, at det er sket gennem et sikkerhedshul i hjemmesidekoden på www.metro.dk.

Fik ikke fat på kodeord eller kortoplysninger

Han fastslår, at der ikke er blevet stjålet mere kritiske oplysninger om for eksempel kundernes betalingskort eller kodeord ved hændelsen.

»Der er ikke tale om virkeligt følsomme oplysninger, så på den måde er det trods alt ikke verdens største sag,« siger Morten Stryhn.

Men navn og e-mailadresse på en masse kunder er vel stadig oplysninger, som er meget anvendelige, hvis man vil udsende spam eller sende phishing-mails (forsøg på at franarre for eksempel kortoplysninger, red.)?

»Det er rigtigt. Men i disse tider, hvor it-kriminelle i stigende grad går efter CPR-numre og netbankoplysninger, er vi glade for, at det i gåseøjne kun er de oplysninger, der er blevet stjålet,« siger Morten Stryhn.

Hvor mange kunder har fået stjålet deres oplysninger?

»Det er svært at sige præcist, fordi vi ved, at der ligger ugyldige email-adresser i basen, og at andre kunder ikke har oplyst den rigtige e-mailadresse til os,« siger Morten Stryhn.

Men snakker vi 10 eller 1.000 kunder?

»Det kan jeg ikke sige. Men det er også derfor, at vi selvfølgelig går ud og informerer vores kunder om datatyveriet. Så de kunder, der kunne tænkes at modtage en e-mail, som ser ud til at være fra os, men ikke er det, ikke er i farezonen,« siger Morten Stryhn til Version2.

Sikkerhedshullet blev lukket umiddelbart efter det blev opdaget, oplyser marketingchefen.

Metro gør i en meddelelse til kunderne opmærksom på, at selskabets officielle domæner er metro.dk, deliverymetro.dk, metroshop.dk, metrogavekort.dk og metrokrudt.dk.

Selskabet opfordrer derudover kunderne til at være særligt opmærksomme på e-mails, der indeholder variationer af netop de links.

Hvad gør I fremadrettet for at sikre, at et lignende datatyveri ikke sker igen?

»Vores it-folk har gået hele sitet igennem med en tættekam, og det er klart, at it-afdelingen i Metro Gruppen på globalt plan generelt arbejder på, at alle vores sites er så sikre som muligt. Hver gang sådan noget sker, så lærer vi jo af det,« siger Morten Stryhn til Version2.