Datatilsynet udtaler alvorlig kritik af sportsvareforhandleren Sports Connection, efter at virksomheden før et hackerangreb, hvor hackerne indsamlede kunders betalingsoplysninger, ikke havde sikkerhedsopdateret et e-handelsprogram til forhandlerens webshop.
Det skriver Datatilsynet i en pressemeddelelse.
Læs også: Cyberangreb rammer spiludgiveren bag Dark Souls og Pac-Man: Ser ud til at være ransomware
Det fremgår af Datatilsynets afgørelse, at hackerangrebet skete ved, at hackerne via et sikkerhedshul i e-handelsprogrammet Magento injicerede en skadelig programkode, der gav mulighed for at uploade en fil til webshoppen, som medførte, at der kunne manipuleres med webshoppens check-ud side. Sports Connection blev derefter bekendt med den uautoriserede adgang, da virksomheden opdagede, at der var tilføjet et felt i indkøbskurven på webshoppen, som ikke tidligere havde været der.
Læs også: Techmastodonter i opråb til amerikanske politikere: Alle skoleelever skal tilbydes computer science
Sikkerhedshullet var i et særskilt modul i Magento med navnet 'Slider_filemanager', der fungerer uafhængigt af Magento, med sit eget login. Hackerne fik kendskab til login til slider-funktionaliteten i 'Slider_filemanager', hvorved det var muligt at uploade en fil til check-ud siden, hvor der kunne indtastes kreditkortoplysninger. Den uautoriserede adgang til modulet varede i 17 sekunder, hvor der var adgang til kundernes kreditkortoplysninger.
Datatilsynet lægger blandt andet vægt på, at det er et kendt risikoscenarie at hyppigt anvendte e-handelsplatforme bliver forsøgt kompromitteret ved indbyggede svagheder.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
