Stadig sikkerhedshul hos Harald Nyborg

Handlende i varehuset Harald Nyborgs netbutik kunne indtil onsdag aften stadig se andre kunders ordrebekræftelser. En næsten to måneder gammel sikkerhedsfejl er dermed ikke på plads endnu.

Næsten halvanden måned efter afsløringen af et alvorligt sikkerhedshul i varehus-kæden Harald Nyborgs netbutik er fejlen ikke blevet rettet.

En af de ordrebekræftelser, som Harald Nyborg har blotlagt for sine kunder. Redaktionen har fjernet navn og adresse på kunden. Bestillingen er foretaget onsdag, og varerne betalt via Danske Banks netbetaling.
En af Computerworld Onlines læsere, Allan Bach, handlede onsdag i netbutikken og prøvede at ændre lidt på de internetadresser, der kom frem i browserens adressefelt.

Dermed fik han adgang til hundredvis af ordrebekræftelser, der minimum går tilbage til midten af juni måned.

Af ordrebekræftelserne kan man læse navn og adresse på kunder, se hvad de har købt, samt hvilken betalingsmetode, de har benyttet. Eksempelvis dankort, homebanking eller efterkrav.

Uvedkommende kan dog ikke se oplysninger om dankortnumre eller kontonumre.

I begyndelsen af juli opdagede en anden læser et hul i Harald Nyborgs netbutik, der gav adgang til samme oplysninger om andre kunders indkøb som det aktuelle sikkerhedshul.

Dengang benægtede Harald Nyborg i første omgang fejlen, og efter at Computerworld Online gik ind i sagen truede den fynske koncern endda læseren med retsforfølgelse.

Gav undskyldning

Senere gav Harald Nyborg en uforbeholden undskyldning og lovede, at sikkerheden nu var i top.

- Jeg må formode, at Computerworld Online måske endnu engang vil tage sagen op, da Harald Nyborg tilsyneladende overhovedet ikke har fattet budskabet, skriver Allan Bach i en mail til Computerworld Online.

Samtidig med henvendelsen til redaktionen, sendte Allan Bach en mail til Harald Nyborg og gjorde opmærksom på fejlen.

Her blev en del af netbutikken torsdag morgen lukket af, så det ikke længere er muligt at udnytte hullet til at få adgang til ordrebekræftelserne.

Citat fra Harald Nyborgs netbutik:

"Alle de oplysninger, du giver os, behandler vi med størst mulig diskretion.

Oplysningerne bruges kun internt, og vi gør alt, hvad vi kan for at beskytte og hemmeligholde dine data.

Vi garanterer, at vi aldrig sælger, udlejer eller udlåner personlige oplysninger til anden side."

- Jeg er lige blevet opmærksom på e-mailen fra kunden og går ud fra, at vores IT-ansvarlige arbejder på sagen. Umiddelbart ligner det den samme fejl som sidst, siger økonomidirektør i Harald Nyborg-koncernen, Mogens Krammer, torsdag formiddag til Computerworld Online.

Nu vil han vurdere, om det er nødvendigt at lukke netbutikken ned i en periode, eller om fejlen kan rettes hurtigt.

- Så svært kan del vel heller ikke være, bemærker Mogens Krammer.

Mener du, at man som kunde i Harald Nyborgs netbutik kan føle sig tryg?

- Det rager ikke andre, hvad man køber hos os, men omvendt er vores produkter ikke noget, man skal skamme sig over. Alligevel er det helt utilfredsstillende, og fejlen skal rettes meget hurtigt, siger Mogens Krammer.

Læs mere om sagen på Computerworld Online senere torsdag




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Jobindex Media A/S
Salg af telemarketing og research for it-branchen, it-kurser og konferencer

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Compliance og strategisk it-sikkerhed efter DORA

Finansielle koncerner har i snit 85 sikkerhedsløsninger i drift – men er i snit op til 100 dage om at opdage et igangværende cyberangreb. Ydermere viser øvelser, at det typisk tager 4-6 uger at rense og genetablere sikker drift af centrale systemer efter et stort angreb. Fokus for dagen vil derfor være på henholdsvis governance samt om, hvordan du som it-leder i den finansielle sektor skal kunne håndtere fremtidens cybertrusler og arbejde effektivt med sikkerhed på et strategisk niveau.

04. april 2024 | Læs mere


EA Excellence Day

Hvad er det, der gør it-arkitektens rolle så vigtig? Og hvad er det for udfordringer inden for områder som cloud, netværk og datacentre, som fylder hos nogle af landets bedste it-arkitekter lige nu? Det kan du her høre mere om og blive inspireret af på denne konference, hvor du også får lejlighed til at drøfte dette med ligesindede.

16. april 2024 | Læs mere


IAM - din genvej til højere sikkerhed uden uautoriseret adgang og datatab

På denne dag udforsker vi de nyeste strategier, værktøjer og bedste praksis inden for IAM, med det formål at styrke virksomheders sikkerhedsposition og effektiviteten af deres adgangsstyringssystemer og dermed minimere risikoen for uautoriseret adgang og datatab. Og hvordan man kommer fra at overbevise ledelsen til rent faktisk at implementere IAM?

18. april 2024 | Læs mere