Alene ved at klikke sig ind på Itbutikken.dk fik en kunde oplyst navn, adresse og mailadresse på en tidligere kunde.
Itbutikken.dk beklager episoden og undersøger i øjeblikket sagen.
Ifølge CRN's søsteravis ComON.dk fandt en af it-avisens læsere frem til Itbutikken.dk, da hun ledte efter en printer på Google. Fra søgesiden klikkede hun sig videre og forsøgte at gennemføre købet hos Itbutikken.dk.
I første omgang undrede kunden sig over, at fragten på forsendelsen oversteg 500 kroner - over halvdelen af printerens pris. Da hun ville afslutte ordren, viste det sig dog, at hun var havnet på Itbutikkens grønlandske portal, der også er på dansk.
Men på ordresiden gjorde hun også en anden interessant observering:
Kontaktinformationerne var allerede udfyldt - med en helt anden persons kontaktinformationer.
»Det er ikke et problem, vi har fået rapporteret før, men det er selvfølgelig dybt beklageligt. Jeres oplevelse medfører, at vi gennemfører et review af vores design og vores kode,« siger Frits Jørgensen it-chef hos Itbutikken.dk og Shg.dk.
Itbutikken.dk opbevarer kunders data ukrypteret, men bag en firewall - hvilket mange andre netbutikker også gør. En kryptering af data kunne have forhindret fejlen, men it-chefen mener ikke, at det bør være nødvendigt.
Han har i dag haft lejlighed til at undersøge problemet.
»Vi har ved gennemgangen af vores system fundet en enkelt uregelmæssighed, men det giver kun halvdelen af forklaringen på, hvorfor det kunne ske. Et eller andet uforklarligt skal samtidig ske med en sessions variable i browseren,« forklarer Frits Jørgensen.
Datatilsynet har ikke hørt om en lignende sag, men har tidligere kritiseret butikker for ikke at bruge SSL ved betaling. I et tilfælde har Datatilsynet også kritiseret Harald Nyborgs netbutik for sløset omgang med data.
Ifølge ComONs oplysninger vil Datatilsynet også i den aktuelle sag bede Itbutikken om en forklaring.
Premium
Kritisk CVE-databasen om sikkerhed reddet i allersidste øjeblik - ny bevilling godkendt