Navne, adresser og varekøb lå tilgaengelige på internettet i tre år
En sikkerhedsbrist hos onlinesupermarkedet nemlig.com har medført, at private oplysninger har vaeret tilgaengelige for uvedkommende siden 2016. »Tåkrummende og pinligt,« siger en it-sikkerhedsekspert.
»Kaere kunde. Vi skriver til dig, fordi vi i januar 2019 konstaterede en sikkerhedsbrist i ét af vores it-systemer, der gjorde det muligt for uvedkommende at tilgå information om dit navn, adresse og varekøb.«
Sådan indleder nemlig.com en mail, der fredag blev sendt afsted til 5.000 af onlinesupermarkedets kunder.
Kunderne har modtaget mailen, fordi udefrakommende som følge af sikkerhedsbristen har haft mulighed for at skaffe sig adgang til de private oplysninger på alle kunder, der har handlet på nemlig.com i perioden fra 2016 til og med den 18. januar 2019, hvor fejlen blev opdaget og meldt til Datatilsynet.
Risiko for afsløring
Nemlig.com har ikke konstateret, at uvedkommende har benyttet sig af muligheden for at tilgå de personlige oplysninger, men kan ikke udelukke, at det er sket.
»Selvfølgelig er det en irriterende sag. Jeg kan sige, at da vores it-folk blev opmaerksomme på det, blev det rettet samme dag, og samtidig kontaktede vi Datatilsynet,« siger kommerciel direktør for nemlig.com Mikkel Pilemand. Han oplyser, at de arbejder med to uafhaengige it-sikkerhedsfirmaer, hvoraf den ene permanent eksternt overvåger deres systemer.
Navn, adresse og indkøbte varer har ikke vaeret beskyttet, hvis man har handlet hos virksomheden i perioden – heller ikke hvis man var tilmeldt navne- og adressebeskyttelse i CPR-registret. Derfor har visse kunder modtaget en mail, da man har vurderet, at deres rettigheder har vaeret i højrisikozonen.
Nu når perioden er på tre år, har I så taenkt over, om det har vaeret en for dårlig eller billig løsning, I har valgt?
»Ja, det er jo klart, at det har vaeret et it-setup, hvor der har vaeret en svaghed. Det vil jeg gerne bekraefte. Det er så ikke godt nok, når der er sådan en svaghed. Igen er der blevet rettet op på det, og derfor kan kunderne trygt handle på Nemlig.com.«
Det skal der vaere styr på
It-sikkerhedsekspert ved CSIS Security Group Peter Kruse mener efter at have set kundemailen og dertilhørende bilag, at situationen ser problematisk ud.
»Det er tåkrummende og en smule pinligt,« siger han. »Man kan håbe, at det var en enkeltstående menneskelig fejl, men det kan også vaere symptom på, at der ikke helt er den styr på dataetik og datakontrol, som man kunne ønske sig af en detailhandel som denne.«
Det afviser Mikkel Pilemand.
»Det vil jeg gerne bekraefte ikke er tilfaeldet. På grund af bl.a. GDPR i 2018 har vi haft en dyb gennemgang af al vores data og den måde, vores setup er på, for på ingen måde at risikere noget.«
Selv om alle kan se, hvad man putter i kurven i Fakta, er det ifølge Peter Kruse et problem, hvis informationen bliver tilgaengelig online.
»Det kan i den grad vaere problematisk. Selvfølgelig kan man stå ved kassebåndet og se, hvad folk haelder ned i deres indkøbskurv, men at det kommer ud i dataform, gør det nemmere for folk at sprede, og så får det en anden effekt. Der kan vaere masser af privatliv, som bliver kraenket. Det kan vaere alt lige fra medicin til alkohol,« siger Peter Kruse.
Han haefter sig ved, at de personlige oplysninger har ligget tilgaengelige på internettet i tre år.
»Lige praecis dét her skal der vaere styr på, og varigheden er kritisk. Det viser, at man ikke har overblikket over, hvad det er, man sender ud,« siger han.
For at finde kundernes oplysninger var det nødvendigt at kende en unik IP-adresse samt kundens ordrenummer, men Peter Kruse vurderer, at det for it-kyndige ikke ville have vaeret svaert at tilgå oplysningerne.
»Nej, det ville ikke vaere problematisk. I og med at det har vaeret tilgaengeligt via internetlinks, og hvis man ved, hvad man skal søge på, er der risiko for, at det også har vaeret tilgaengeligt via Google, Bing eller andre søgemaskiner.«
Mikkel Pilemand siger dog, at han ikke mener, at det har vaeret muligt at tilgå oplysningerne via søgemaskiner.