Datatilsynet udtaler alvorlig kritik af sportsvareforhandler: Havde ikke lavet sikkerhedsopdatering

18. juli kl. 09:401
Skechers
Sports Connection forhandler blandt andet det populære skomærke Skechers. Illustration: Daiu Ting hoopae200/Wikimedia Commons.
Før et hackerangreb, hvor hackerne indsamlede kundernes betalingsoplysninger, havde Sports Connection ikke sikkerhedsopdateret et e-handelsprogram til sportsvareforhandlerens webshop, og derfor udtaler Datatilsynet alvorlig kritik af virksomheden.
Artiklen er ældre end 30 dage

Datatilsynet udtaler alvorlig kritik af sportsvareforhandleren Sports Connection, efter at virksomheden før et hackerangreb, hvor hackerne indsamlede kunders betalingsoplysninger, ikke havde sikkerhedsopdateret et e-handelsprogram til forhandlerens webshop.

Det skriver Datatilsynet i en pressemeddelelse.

Læs også: Cyberangreb rammer spiludgiveren bag Dark Souls og Pac-Man: Ser ud til at være ransomware

Det fremgår af Datatilsynets afgørelse, at hackerangrebet skete ved, at hackerne via et sikkerhedshul i e-handelsprogrammet Magento injicerede en skadelig programkode, der gav mulighed for at uploade en fil til webshoppen, som medførte, at der kunne manipuleres med webshoppens check-ud side. Sports Connection blev derefter bekendt med den uautoriserede adgang, da virksomheden opdagede, at der var tilføjet et felt i indkøbskurven på webshoppen, som ikke tidligere havde været der.

Artiklen fortsætter efter annoncen

Læs også: Techmastodonter i opråb til amerikanske politikere: Alle skoleelever skal tilbydes computer science

Sikkerhedshullet var i et særskilt modul i Magento med navnet 'Slider_filemanager', der fungerer uafhængigt af Magento, med sit eget login. Hackerne fik kendskab til login til slider-funktionaliteten i 'Slider_filemanager', hvorved det var muligt at uploade en fil til check-ud siden, hvor der kunne indtastes kreditkortoplysninger. Den uautoriserede adgang til modulet varede i 17 sekunder, hvor der var adgang til kundernes kreditkortoplysninger.

Datatilsynet lægger blandt andet vægt på, at det er et kendt risikoscenarie at hyppigt anvendte e-handelsplatforme bliver forsøgt kompromitteret ved indbyggede svagheder.

1 kommentar.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
1
19. juli kl. 21:22

Jeg forstår ikke hvad webshop vil med kundernes kreditkort oplysninger. Det skal de bare overlade til en indløser, så risikerer de ikke at få en så hård kritik.