Caching og 'menneskelig fejl' gav Imerco-kunder adgang til hinandens oplysninger under vase-stormløb

I et forsøg på at klare den massive belastning som følge af et tilbud på en jubilæumsvase, slog Imerco en caching-funktion til i netbutikken, der bevirkede, at kunder kunne se hinandens oplysninger.

Det var en caching-funktion, der i går bevirkede, at kunder, der forsøgte at handle i Imercos webshop, kunne se hinandens oplysninger. Det fremgår af en pressemeddelelse fra isenkræmmer-virksomheden.

Som det vil være flere bekendt, sendte et tilbud på en jubilæumsvase i går Imercos hjemmeside i knæ det meste af dagen. For at imødegå den intensive trafik valgte Imerco ifølge eget udsagn at aktivere det, virksomheden kalder hardware-caching.

»Fejlen opstod som et forsøg på at stabilisere vores webshop og skyldtes såkaldt hardware caching. Det havde desværre den utilsigtede konsekvens, at enkelte kunder fik et forkert skærmbillede med en anden kundes oplysninger - hvilket vi selvfølgelig beklager dybt,« står der i pressemeddelelsen fra Imerco, som fortsætter:

»Imerco anvender ikke hardware cache fremadrettet. Og gjorde det kun i rent nødstilfælde for at prøve at stabilisere sitet.«

Isenkræmmer-forretningen oplyser desuden, at 'fejlen var ikke en systemfejl, men en menneskelig fejl, der straks blev rettet. Fejlen kommer ikke til at gentage sig.'

Imerco-bruger Lisbeth Sillesen kunne i går fortælle til Version2, at hun kunne se oplysninger om en anden kundes adresse, telefonnummer, mail og fødselsdato. I pressemeddelelsen understreger Imerco, at der ikke har været adgang til det, virksomheden kalder kritiske personlige oplysninger:

Læs også: Vase-panik: Kunder fik adgang til fremmede konti på Imercos hjemmeside

»Enkelte kunder har i en ganske kort periode kunnet se et andet skærmbillede end deres eget. Men der har ikke været adgang til at se kritiske personlige oplysninger som fx CPR-nummer eller passwords – og slet ikke adgang til at se kreditkortoplysninger. Derudover har ingen kunne rette eller redigere i de skærmbilleder, der ikke har været deres egne. Det er vigtig at understrege, at Imerco ikke opbevarer data om hverken CPR-nummer, eller kreditkortnummer.«

Næste gang der er tilbud i Imercos netbutik, så kan det tænkes, kunderne får lettere ved at komme igennem. I hvert fald slutter virksomheden pressemeddelelsen med at skrive:

»Vi har lært en lektie om nethandel, og episoden her bekræfter vores strategi om at fokusere på nethandel. Vi planlægger derfor nu at opgradere vores servere, så vi kan håndtere samme antal besøgende, som vi havde i går. Herudover undersøger vi også muligheden for at indføre et kø-system, så der ikke opstår kaos, som i går.«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (8)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#4 Rune Larsen

Mon ikke bare det er en standard HTTP caching reverse proxy. Fløjtende ligegyldigt om det er hardware eller software (som PHK's Varnish) når man ikke sætter sine caching headere rigtigt.

Bruger A indtaster sine data og trykker "videre" og får en bekræftelsesside eller lignende hvor han kan gennemse sine data. Denne side caches af proxien (medmindre webserveren sætter fx "cache-control: private" HTTP headeren, som den burde).

Bruger B når samme bekræftelsesside, og proxien sender nu den cachede side til bruger B fremfor at spørge webseveren igen. Siden med bruger A's oplysninger.

  • 9
  • 0
Log ind eller Opret konto for at kommentere