Vase-panik: Kunder fik adgang til fremmede konti på Imercos hjemmeside

I forbindelse med et populært vasetilbud har Imercos hjemmeside haft tekniske problemer, og nu melder flere kunder, at de ligefrem har fået adgang til andres konto, når de har forsøgt at logge ind på siden.

Et tilbud på en jubilæumsvase har åbenbart bragt isenkræmmeren Imercos hjemmeside så meget i knæ, at flere kunder oplever, at de får adgang til andres profiler på web-butikken.

Lisbeth Sillesen fortæller, at hun fik sig noget af en overraskelse, da hun i dag loggede ind på hjemmesiden. Her hed hun nemlig Christina, og det gik op for Lisbeth Sillesen, at hun havde adgang til en andens konto.

»Så gik jeg ind i 'rediger oplysninger' for at se, om jeg var kommet til at skrive mit navn forkert. Og så kunne jeg se, at hun bor i Odense, hende her. Så det er nok ikke lige mig, for jeg bor i Vejle,« siger hun til Version2.

Lisbeth Sillesen fortæller, at hun kunne se oplysninger om den anden kundes adresse, telefonnummer, mail og fødselsdato.

»Det er ubehageligt. Jeg ved jo, at hvis jeg ryger ind på en anden persons konto, når jeg tror, jeg logger på min egen, så er der jo også andre, der kan risikere at logge ind på det, de tror er deres konto, og så lige pludselig se mine oplysninger,« siger Lisbeth Sillesen, der ikke tidligere har købt noget på Imercos hjemmeside.

Hun skyndte sig at logge af og kommentere på Imercos Facebook-profil. Det er der flere andre, der også har gjort, med samme slags historier om, at de har oplevet at få adgang til en profil, der ikke er deres. Generelt handler de fleste indlæg dog om, at det har været umuligt at få lov at købe den eftertragtede vase i webshoppen.

Siden klokken 10 i formiddag har Imerco haft tilbud på jubilæumsvasen, og det har været så populært, at det har resulteret i tekniske problemer.

På Facebook har virksomheden tidligere i eftermiddag skrevet:

»Kære vase-fans

Vi arbejder på højtryk på at forbedre den tekniske situation på imerco.dk, så I kan komme til at købe jeres vaser. Vi ved, at I har ventet længe nu - tusinde tak for tålmodigheden. Vi havde ikke i vores vildeste fantasi troet, at denne vase ville skabe så meget trafik på vores webshop. Vi gør alt, hvad vi kan, for at få hjemmesiden til at fungere igen - og lover at holde jer opdateret her på siden. Vh. Imerco«

Den sidste melding på Imercos Facebook-profil i skrivende stund lyder:

»Kære alle

Situationen er den, at 16.000 danskere i dag har forsøgt at købe en Kähler-vase samtidigt. De mange kunder blokerer desværre for, at man kan gennemføre et køb.

Vi prøver at behandle ordrerne i den rækkefølge, de er kommet ind.
Flere af jer sidder i ”kø” for at færdiggøre købet og har lagt varen i kurv. I venter kun på at betale.

Vi går i gang med at ekspedere jer nu.

Står du ikke i kurven og venter på at betale, så skal du betragte vasen som udsolgt. Vi beder dig om at lukke ned. Du kommer desværre ikke igennem og kan gennemføre et køb.

Vi beklager virkelig ulejligheden.«

Virksomheden skriver dog ikke noget specifikt om situationen, hvordan kundeoplysninger kan være blevet tilgængelige for uvedkommende. Version2 har forsøgt at kontakte Imerco for en uddybende kommentar og for at høre, hvordan det kan ske, at kunder får adgang til den forkerte profil. Det er dog ikke lykkedes at komme igennem til virksomheden.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (11)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Henrik Pedersen

Et tilbud på en jubilæumsvase har åbenbart bragt isenkræmmeren Imercos hjemmeside så meget i knæ, at flere kunder oplever, de får adgang til andres profiler på web-butikken.

Hvordan er det muligt at fejle så meget? Min første kommentar var et spørgsmål om de havde forskubbet ID numrene... Men.... Hvor ødelagt er deres authentikation lige? Under tryk på serveren, så får kunderne adgang til hinandens data? Hvordan helvede kan det ske? Det lyder som et race condition, men hvordan i al helvede kan man få bygget det ind i en simpel hjemmeside som Imercos?

Jeg håber de publicerer navnet på firmaet der har lavet det, fordi jeg tror lige vi fandt en virksomhed som satte baren lavere end offentlige IT løsninger...

Edit: Undskyld jeg bander så meget, men jeg lader det stå fordi jeg virkelig er sur over deres inkompetence. Alternativet er at vedhæfte et billede af mig der skærer tænder, og det er ikke kønt.

  • 2
  • 1
Jonas Nyrup

Question: How does a large software project get to be one year late?
Answer: One day at a time!

Hvis du er så ivrig efter at kende navnet på firmaet bag hjemmesiden, så tager det under et minut at finde ud af, inkl. at loade imerco.dk

  • 1
  • 0
Rune Andersen

Kan godt være jeg er blind, men kan ikke lige se hvem der har lavet siden, blot at det er baseret på en SiteCore løsning som Morten også nævner.
Så er spørgsmålet jo så bare om der er en bug i SiteCore eller om brugen af systemet er forkert sat op.

  • 1
  • 0
Bjarke I. Pedersen

Kan godt være jeg er blind, men kan ikke lige se hvem der har lavet siden, blot at det er baseret på en SiteCore løsning som Morten også nævner.
Så er spørgsmålet jo så bare om der er en bug i SiteCore eller om brugen af systemet er forkert sat op.

Nu sidder jeg til dagligt med udviklig på Sitecore (dog ikke ved den leverandør som har leveret imerco.dk) .
Sitecore's user framework bruger standard ASP.NET authentication, så jeg vil blive ret overrasket hvis det er der problemet er.

Mit bud (uden at kende løsningen) er, at de enten har lavet deres egen authentication provider, som taler op imod et andet bagvedliggende system - hvilket giver god mening, ud fra at det er en shop.

En anden mulighed er, at Sitecore kun styrer indholdet, og hele shop delen ligger deri også, men alt brugen af det, så som brugere, login osv. blot kalder nogle bagvedliggende services.

Hvordan de har gjort det mere præcist er ikke til at sige :)

  • 3
  • 0
Peter Makholm Blogger

Hvordan er det muligt at fejle så meget? Min første kommentar var et spørgsmål om de havde forskubbet ID numrene... Men.... Hvor ødelagt er deres authentikation lige?

Jeg kender intet til Imercos setup, men det er en typisk fejl jeg har set flere gange når folk i panik sætter noget caching op.

Det kan rent enkelt være at man bruger ens cache-løsning på en måde så den også cacher cookies (hvilket selvfølgelig er tåbligt), men det kan også være fordi ens system i nogle tilfælde gemmer sessioner i URL'er som så er meget svære for cachen at gætte at de ikek skal være der.

Endelig kan det også bare se ud som om man er logget ind uden dog at have nok til at have adgang til hele sessionen. Det kan ofte vise sig ved at man er logget ind som forskellige personer på forskellige sider.

  • 3
  • 0
Log ind eller Opret konto for at kommentere