Datatilsyn giver alvorlig kritik: Tøjfirma havde ingen multifaktor ved hackerangreb, der stjal kortoplysninger

Datatilsyn giver alvorlig kritik: Tøjfirma havde ingen multifaktor ved hackerangreb, der stjal kortoplysninger
Illustration: Pressefoto/Datatilsynet.
Manglende multifaktorgodkendelse forud for et hackerangreb, der resulterede i, at hackerne kunne indsamle kunders kortoplysninger, betyder at tøjmærket Designbysi får alvorlig kritik af Datatilsynet.
1. juli kl. 07:50
errorÆldre end 30 dage

Datatilsynet udtaler alvorlig kritik af, at tøjmærket Designbysi ikke havde indført multifaktor login for brugere, der havde adgang til at ændre i betalingsscriptet til Designbysis webshop forud for et hackerangreb, hvor hackerne indsamlede kunders kortoplysninger.

Det skriver Datatilsynet i en pressemeddelelse.

Læs også: Mere end 40 organisationer hacket i en af Contis mest effektive ransomwarekampagner

Hackerangrebet på Designbysi kan ifølge Datatilsynets afgørelse spores tilbage til 23. april 2021, men tøjmærket blev først opmærksom på bruddet på persondatasikkerheden 22. juni 2021, da virksomheden blev kontaktet af Nets, hvorefter Designbysi kontaktede virksomhedens databehandler og Datatilsynet.

Artiklen fortsætter efter annoncen

Hackerne havde indsat et uautoriseret Javascript på Designbysis webshop for at indsamle deres kunders kortoplysninger. Javascript-koden medførte, at kunder i forbindelse med deres køb fik en fejlmeddelelse, hvorefter de blev anmodet om at indtaste deres kortoplysninger endnu en gang.

Angrebet blev ifølge Designbysis redegørelse til Datatilsynet sandsynligvis udført ved at udnytte et stjålent/gættet loginoplysninger for den specifikke webshop. Databehandleren baserede denne konklusion på, at kun Designbysis webshop havde det uautoriserede Javascript, hvilket peger på en specifik grund til angrebet.

»Databehandleren har oplyst, at det ikke er muligt at oplyse præcist, hvor mange og hvilke kort, der har været berørt. Men Databehandleren formoder, at angrebet potentielt kan have berørt alle der handlede på Designbysi.dk mellem den 26. april 2021 og 22. juni 2021, begge dage inklusiv,« fremgår det af Datatilsynets afgørelse.

Sammenfattende konkluderer Datatilsynet, at Designbysi – ved at undlade at gennemføre dobbelt verifikation – at der er grundlag for at udtale alvorlig kritik af, at Designbysis behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i GDPR.

Ingen kommentarer endnu.  Start debatten
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger