Netsupermarked udsatte 30.000 kunder for sikkerhedsbrist

Irmatorvet.dk har i en mail til over 30.000 kunder erkendt en sikkerhedsbrist, der potentielt gav uvedkommende adgang til kontaktoplysninger, password og købshistorik.

Netsupermarkedet irmatorvet.dk har haft en sikkerhedsbrist, der i værste fald har givet ubudne gæster oplysninger om 30.000 kunders kontaktoplysninger, password og købshistorik.

I forbindelse med omlægning til en større server i december 2010, kørte irmatorvet.dk en række tests på en testserver, og nu erkender virksomheden i en mail til samtlige godt 30.000 kunder, at testserveren ikke har været beskyttet godt nok mod misbrug.

»Som led i de tekniske omlægninger blev der etableret en ekstra server (stor computer) til at teste ændringerne på. For at gøre testen så virkelighedstro som muligt benyttede vi rigtige kundedata til testen.
Serveren var desværre ikke tilstrækkeligt sikkerhedsmæssigt beskyttet: Det betyder, at der siden Irmas overtagelse af virksomheden og frem til den 23. december 2010 var risiko for, at uvedkommende kunne få adgang til dine kontaktoplysninger, password og købshistorik,« skriver irmatorvet i mailen til kunderne.

At der skulle gå næsten tre måneder, før kunderne fik besked om hullet, forklarer administrerende direktør i irmatorvet.dk, Peter Bagge-Nielsen, således:

»Når vi ikke har gjort noget akut, er det fordi vi hurtigt konstaterede, at ingen havde lidt skade. Vi kunne se i logfilerne, at det potentielle hul ikke var blevet forsøgt udnyttet. Så inden vi orienterede kunderne, har vi lavet en lang række forbedringer af sikkerheden. Blandt andet følger vi nu best practise om, hvordan passwords håndteres, og vi har ændret procedurerne for adgang til serverne, ligesom forskellige typer af data nu ligger adskilt fra hinanden,« siger Peter Bagge-Nielsen til Version2.

Han forklarer i øvrigt, at mailen er afsendt som en konsekvens af firmaets interne sikkerhedspolitik.

»Vores procedurer siger, al vi skal fortælle kunderne, når sikkerhedsniveauet ikke har været højt nok. Også selv om der ikke er en sag som sådan,« siger Peter Bagge-Nielsen.

Sikkerhedsbristen blev ifølge mailen opdaget af virksomhedens interne it-sikkerhedsgrupper som led i en rutinemæssig kontrol. Brugerne er nu som en del af den opstrammede sikkerhed blevet bedt om at skifte password.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (9)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#2 Flemming Riis

det ikke blev fejet væk.

Vi har lavet en fejl , kontrolleret at det ikke er udnyttet men informeret potentielle folk for en sikkerheds skyld samt laver forbedringer.

Sådan skal det gøres.

  • 0
  • 0
#3 Benjamin Krogh

Disclaimer: Jeg en af de "ramte" af dette stunt, så jeg er lidt biased...

Men jeg ville nu ret gerne vide i hvilken form mit password kan være lækket, hvilket endnu ikke har været muligt.

Sikker hash funktion plus fornuftig salt burde jo gøre det endog ganske svært for en udenforstående at bruge det til noget. Hvorimod opbevaring i klartekst...

Hvad jeg kan få at vide er at de nu benytter sig af "best practices" på området, og at de ikke vil fortælle mig hvad det betyder.

  • 0
  • 0
#4 Jesper Lund

Sikker hash funktion plus fornuftig salt burde jo gøre det endog ganske svært for en udenforstående at bruge det til noget. Hvorimod opbevaring i klartekst...

Check deres "jeg har glemt mit password funktion" http://www.irmatorvet.dk/customers/sendlogin.aspx

Hvis de kan sende dig dit nuværende password, må det ligge i klartekst i deres databaser, hvilket er ret skidt som du selv påpeger.

Hvis de kun kan sende dig et nyt password, er det formentlig et passende hash (men ikke nødvendigvis saltet) som er gemt.

Desværre peger teksten "Indtast din emailadresse nedenfor, så sender vi dine login-oplysninger til dig" i retning af den første mulighed.

Men prøv selv (det kan bare være en dårlig formulering).

P.S. Et godt råd er at vælge en password manager som PasswordSafe og bruge forskellige passwords til alle sites.

  • 0
  • 0
#5 Klaus Seistrup

Men jeg ville nu ret gerne vide i hvilken form mit password kan være lækket, hvilket endnu ikke har været muligt.

Peter Bagge-Nielsen, som er adm. direktør for IrmaTorvet, skrev i en email til mig:

Vi har tidligere haft password i klar text. Dette er dog ikke tilfældet længere og vi benytter nu Best Practice på området for beskyttelse af password. Den præcise metodik må jeg dog ikke oplyse.

Mvh Klaus

  • 0
  • 0
#6 Klaus Seistrup

Desværre peger teksten "Indtast din emailadresse nedenfor, så sender vi dine login-oplysninger til dig" i retning af den første mulighed.

Det må de ha' lavet om, for i skrivende stund står der:

Indtast din emailadresse nedenfor. Herefter vil du modtage en email der giver dig mulighed for at skifte dit password.

Mvh Klaus

  • 0
  • 0
#7 Klaus Seistrup

I øvrigt synes jeg ikke det er i orden at de venter henved 3 måneder med at informere kunderne. Hvis folk bruger den samme adgangskode flere steder, er det lang tid at have en adgangskode i klartext med tilhørende emailadresse og andre oplysninger ude at svømme i 3 måneder. IrmaTorvet burde efter min mening straks have informeret kunderne, i øvrigt gjort dem opmærksomme på at de burde skifte adgangskode alle steder hvis de havde brugt den samme adgangskode på IrmaTorvet og andre steder.

Mvh Klaus

  • 0
  • 0
#8 Benjamin Krogh
  1. Peter har bekræftet (og beklaget) at passwords var i klartekst.

  2. Peter har samtidigt fortalt at best practices er blevet implementeret, så det sker ikke igen.

Jeg synes faktisk at sagen glimrende viser at man ikke kan stole på at et firma behandler ens data forsvarligt. I dette tilfælde er skaden nok lille, så lærepengene var ikke så dyre...

  • 0
  • 0
Log ind eller Opret konto for at kommentere