Hackere har frit spil på Ikea-sites efter grov sjusk

Den internationale møbelgigant Ikea tillader med et eklatant sikkerhedshul på firmaets hjemmeside enhver at stable en særdeles potent spamservice på benene, som benytter firmaets internationale mailserver i Sverige som afsender.

Problemet er, at hjemmesidens kontaktskabelon ikke er tilstrækkeligt sikret og giver mulighed for at indsætte andre alternative emailadresser.

"Enhver, som programmerer sikre webapplikationer, vil kunne se, at det her er et problem," siger Peter Kruse, der er chefanalytiker hos sikkerhedsfirmaet Csis.

Hullet gør det muligt for enhver at sende millioner af spammails fra møbelgigantens mailserver ved hjælp af et simpelt script.

Det er også muligt frit at designe de afsendte mails med eksempelvis grafik, billeder og pop-ups.

Trojanere og exploids
Og det gør hullet interessant for mere hærdede phishere og hackere, fordi det på den måde er muligt at opsætte såkaldte drive-by sider, som uploader trojanere eller andre sårbarheder til ofrets computer.

Desuden kan hackerne misbruge Ikeas troværdighed overfor kunder og samarbejdspartnere til eksempelvis at lokke informationer om betalingskort ud af erhvervs- og privatkunder.

"Et hul hos et brand, der er så eksponeret, er selvfølgelig særligt alvorligt," siger Peter Kruse.

Når en global virksomhed af Ikeas størrelse har en fejl i en webapplikation som denne, er der ifølge sikkerhedseksperten tale om simpelt sjusk.

"En behændig webprogrammør vil kunne rette fejlen på ti minutter. Det er minimalt hvad det kræver af indsats at skrive det her ordentligt," siger Peter Kruse.

Første gang hos globalt firma
Sikkerhedseksperten fortæller, at fejlen skyldes manglende validering af webapplikationen, og at den er set tusindvis af gang før. Men aldrig hos så stort et firma.

Han mener, at det er et klokkeklart eksempel på, hvor galt det kan gå, når man ikke validerer en applikation ordentligt.

"Det er første gang, jeg har set noget så åbenlyst sjusket hos så stort et firma. Det blænder øjnene," siger Peter Kruse.

Internationalt problem
Fejlen kan ifølge Peter Kruse udnyttes globalt og rammer dermed ikke kun den danske del af Ikea.

Den ramte formular findes også på firmaets applikationer i en række andre lande, eksempelvis Slovakiet, Norge og Polen og kan nemt findes ved at ændre få tegn i en url.

Det betyder ifølge Peter Kruse, at det højest sandsynligt er den samme centralt placerede mailserver, som modtager og behandler de afsendte mails.

Hvis nogen udnytter designfejlen i den pågældende form, kan Ikea dermed risikere at havne på de omdiskuterede blokeringslister på RBL-markedet, (Real-time Spam Black List) som mange internetudbydere benytter til at frasortere spam.

"Det betyder, at samtlige folk, som sidder bag en ordentlig spamfiltrering, ikke vil kunne modtage mails fra Ikea, mens selskabet er blacklistet," siger Peter Kruse.

Dermed risikerer hullet potentielt at lamme Ikeas administration, fordi medarbejdermails ikke når frem til kunder eller forretningsforbindelser.

Det har ikke været muligt at få svar på egentlige spørgsmål om problemstillingen hos Ikea i Danmark.

Men pr- og kommunikationsansvarlig Thomas Uhd skriver i en mail til Computerworld, at "IKEA Danmark er først fornylig blevet opmærksom på denne problemstilling. Da det vedrører hele IKEA, vurderer man - hos IKEA IT internationalt - i øjeblikket problemets omfang, og hvad man eventuelt kan gøre for at løse det."

Ikea Danmark havde sidste år 4,5 millioner unikke besøgende på den danske hjemmeside. Ikea International har endnu ikke opgjort tallene fra hele verden men forventer et besøgstal på en halv milliard besøgende i 2007, fortæller Thomas Uhd.