Postordrefirmaet Harald Nyborgs internetbutik er så succesfuld, at firmaet ikke har råd til at lukke den ned i nogle dage.
Heller ikke selvom det betyder, at tusindvis af kunders ordrer frit kan læses sammen med oplysninger om navne, adresser og betalingsmetoder.
- Vi får ordrer ind for to millioner kroner om måneden på hjemmesiden, og bare at lukke den en enkelt dag ville koste os flere hundrede tusinde kroner, forklarer IT-ansvarlig Bjarne Pedersen, da Computerword Online onsdag eftermiddag fangede ham på en mobiltelefon.
Fejlen ligner efterhånden en klassiker. Når en kunde har afgivet sin bestilling og får en ordrebekræftelse frem på skærmen, har den et særligt ID-nummer, der kan aflæses i browserens adressefelt.
Ved at udskifte det firecifrede tal med et tilfældigt nummer, kan man læse andre kunders ordrebekræftelser. Uhæderlige personer kunne i princippet sætte et program til systematisk at hente ordrebekræftelserne hjem fra Harald Nyborgs hjemmeside.
Ferieramt
- Vi har haft nogle serverproblemer, som Tele Danmark arbejder med i øjeblikket. Det viste sig, at serveren var fyldt op med MP3-filer, som amerikanske crackere havde lagt ind, forklarer Bjarne Pedersen.
Han undskylder den langsommelige fejlretning med, at TDC er ferieramt og ikke har været særlig hurtig til at rette fejlen. Men i øvrigt understreger han, at kun Harald Nyborgs kunder vil få den webadresse frem, som man kan manipulere med for at læse andre kunders ordrer.
Når I har så mange kunder, kunne blot en enkelt måske finde på at lægge adressen ud i en nyhedsgruppe, så alle mulige kunne kigge med?
- Det kunne de ikke finde på. Men hvis de gør det alligevel, så lukker vi systemet, svarer Bjarne Pedersen.
Bliver alligevel afbrudt
Kort efter afbryder han samtalen. Da det går op for ham, at Computerworld Online vil omtale sikkerhedsproblemet i denne artikel, skal serveren alligevel afbrydes - og det sker få minutter efter.
Trods flere opkald, har det ikke været muligt at få en kommentar fra Harald Nyborgs salgsdirektør, Bent Bastholm.
Computerworld Online blev gjort opmærksom på hullet af en læser, Nicolas Larsen, der selv lige havde afgivet en ordre på Harald Nyborgs hjemmeside og opdagede fejlen ved et tilfælde.
- Jeg opdagede det desværre først efter at have bestilt mine varer, og jeg var noget overrasket over, at min og alle andres ordrer ligger ubeskyttede med navn, adresse, produkter og betalingsmetode, skriver Nicolas Larsen.
Da han klagede til Harald Nyborg, fik han blot det svar, at det ikke kunne lade sig gøre. Databasen er beskyttet med password "og på anden måde", skrev Bjarne Pedersen tilbage til læseren.
Skærmbilledet nedenfor, som vi fik adgang til onsdag eftermiddag, beviser det modsatte. Navn og adresse på kunden i Værløse har vi sløret.
Sådan ser de ordrebekræftelser ud, som Harald Nyborg blotlagde, indtil Computerworld Online henvendte sig.
