Datatilsynet udtaler alvorlig kritik af sportsvareforhandler: Havde ikke lavet sikkerhedsopdatering

1 kommentar.  Hop til debatten
Skechers
Sports Connection forhandler blandt andet det populære skomærke Skechers. Illustration: Daiu Ting hoopae200/Wikimedia Commons.
Før et hackerangreb, hvor hackerne indsamlede kundernes betalingsoplysninger, havde Sports Connection ikke sikkerhedsopdateret et e-handelsprogram til sportsvareforhandlerens webshop, og derfor udtaler Datatilsynet alvorlig kritik af virksomheden.
18. juli kl. 09:40

Datatilsynet udtaler alvorlig kritik af sportsvareforhandleren Sports Connection, efter at virksomheden før et hackerangreb, hvor hackerne indsamlede kunders betalingsoplysninger, ikke havde sikkerhedsopdateret et e-handelsprogram til forhandlerens webshop.

Det skriver Datatilsynet i en pressemeddelelse.

Læs også: Cyberangreb rammer spiludgiveren bag Dark Souls og Pac-Man: Ser ud til at være ransomware

Det fremgår af Datatilsynets afgørelse, at hackerangrebet skete ved, at hackerne via et sikkerhedshul i e-handelsprogrammet Magento injicerede en skadelig programkode, der gav mulighed for at uploade en fil til webshoppen, som medførte, at der kunne manipuleres med webshoppens check-ud side. Sports Connection blev derefter bekendt med den uautoriserede adgang, da virksomheden opdagede, at der var tilføjet et felt i indkøbskurven på webshoppen, som ikke tidligere havde været der.

Artiklen fortsætter efter annoncen

Læs også: Techmastodonter i opråb til amerikanske politikere: Alle skoleelever skal tilbydes computer science

Sikkerhedshullet var i et særskilt modul i Magento med navnet 'Slider_filemanager', der fungerer uafhængigt af Magento, med sit eget login. Hackerne fik kendskab til login til slider-funktionaliteten i 'Slider_filemanager', hvorved det var muligt at uploade en fil til check-ud siden, hvor der kunne indtastes kreditkortoplysninger. Den uautoriserede adgang til modulet varede i 17 sekunder, hvor der var adgang til kundernes kreditkortoplysninger.

Datatilsynet lægger blandt andet vægt på, at det er et kendt risikoscenarie at hyppigt anvendte e-handelsplatforme bliver forsøgt kompromitteret ved indbyggede svagheder.

1 kommentar.  Hop til debatten
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
1
19. juli kl. 21:22

Jeg forstår ikke hvad webshop vil med kundernes kreditkort oplysninger. Det skal de bare overlade til en indløser, så risikerer de ikke at få en så hård kritik.