ITbutikken har blotlagt information om kunderne.
Den danske online-IT-butik havde en sikkerhedsfejl, som gjorde det muligt at se navne, adresser og telefonnumre på kunder, som havde benyttet en formular til returnering af varer. Det kunne gøres ved at skifte cifrene i internetadressen, URL'en, ud.
Folkene bag websitet Webpressen.dk har gjort Computerworld Online opmærksom på fejlen. Den ligner det problem, som butikskæden Harald Nyborgs webbutik indkasserede en advarsel fra Datatilsynet på sidste år, da Computerworld Online skrev om sagen.
Efter at være blevet gjort opmærksom på bristen i tirsdag har ITbutikken tilføjet endnu en variabel til subjekt-feltet, og dermed mener direktør, Peter Sunesen, at virksomheden har taget hånd om problemet.
På trods af advarslen fra Datatilsynet til Harald Nyborg mener Peter Sunesen ikke, at der er tale om en alvorlig fejl, som almindelige brugere kunne udnytte. Det kræver "hacking-metoder", som direktøren formulerer det.
- For at gøre det her skal man bruge funktionen "view source" (vis kilde, red.) og så gætte sig frem til variablen. Det vil jeg kalde hacking, for vel kan man få adgang, hvis man er dygtig, siger direktøren.
- Det er ikke en fejl, man ville finde ved almindelig brug, fastslår Peter Sunesen, hvis virksomhed selv står bag softwaren i webbutikken.
Datatilsynet: Det må ikke ske
Men kontorchef i Datatilsynet Lene Andersen slår fast, at huller i butikssoftwaren, der tillader udefra kommende at se kundedata, ikke er acceptable.
- De skal selvfølgelig have sikkerhedsforanstaltninger, som gør at deres informationer ikke kommer i hænderne på uvedkommende. Loven kræver, at man sikrer sine personoplysninger, så det må ikke ske, siger hun.
Lene Andersen finder, at det vigtigste er, at hullet er lukket, men Datatilsynet vil følge sagen, påpeger hun.
Peter Sunesen erkender, at det var nødvendigt at skærpe sikkerheden ved at ændre i variablerne i returformularerne, så der nu skulle være lukket for at uvedkommende kan finde personoplysninger.
Men han ærgrer sig over, at skærpede sikkerhedsforanstaltninger i sidste ende giver flere besværligheder for kunderne i butikken.
Han mener samtidig, at personen som har fundet frem til hullet, må være en tidligere kunde med en retursag, som har ønsket at hævne sig.
- Det er så måden, man gør det på nu om dage, konstaterer direktøren.
FDIH: Kunderne er kvalitetskonsulenter
I Foreningen for Dansk Internethandel (FDIH) ærgrer formand Gert Birnbacher sig også, men mest over, at direktøren i ITbutikken kalder det hacking-metoder, når kunder finder fejl i e-handelssoftware.
- Det er uklogt sagt. Vi havde en lignende sag med Harald Nyborg. Hvis forbrugerne undersøger noget, så må man se det som et forsøg på at være frivillige kvalitetskonsulenter, siger han.
Gert Birnbacher kalder ITbutikken for en seriøs forretning og mener også, at det taler til virksomhedens fordel, at den lukkede hullet, straks efter Computerworld Online henvendte sig.
