Erhverv

Navne, adresser og varekøb lå tilgængelige på internettet i tre år

En sikkerhedsbrist hos onlinesupermarkedet Nemlig.com har medført, at private oplysninger har været tilgængelige for uvedkommende siden 2016. »Tåkrummende og pinligt,« siger en it-sikkerhedsekspert.

Private oplysninger om en del kunder i Nemlig.com har ved en fejl ligget på internettet. Arkivfoto: Mik Eskestad  Foto: Mik Eskestad

»Kære kunde. Vi skriver til dig, fordi vi januar 2019 konstaterede en sikkerhedsbrist i ét af vores it-systemer, der gjorde det muligt for uvedkommende at tilgå information om dit navn, adresse og varekøb.«

Sådan indleder Nemlig.com en mail, der fredag blev sendt afsted til 5.000 af onlinesupermarkedets kunder.

Kunderne har modtaget mailen, fordi udefrakommende som følge sikkerhedsbristen har haft mulighed for at skaffe sig adgang til de private oplysninger på alle kunder, der har handlet på Nemlig.com i perioden fra 2016 til og med den 18. januar 2019, hvor fejlen blev opdaget og meldt til Datatilsynet.

Risiko for afsløring af hemmelig adresse

Nemlig.com har ikke konstateret, at uvedkommende har benyttet sig af muligheden for at tilgå de personlige oplysninger, men kan ikke udelukke, at det er sket.

»Selvfølgelig er det en irriterende sag. Jeg kan sige, at da vores it-folk blev opmærksomme på det, blev det rette samme dag, og samtidig kontaktede vi Datatilsynet,« siger kommerciel direktør for Nemlig.com Mikkel Pilemand. Han oplyser, at de arbejder med to uafhængige it-sikkerhedsfirmaer, hvoraf den ene permanent eksternt overvåger deres systemer.

Navn, adresse og indkøbte varer har ikke været beskyttet, hvis man har handlet hos virksomheden i perioden - heller ikke hvis man var tilmeldt navne- og adressebeskyttelse i CPR-registret. Derfor har visse kunder modtaget en mail, da man har vurderet, at deres rettigheder har været i højrisikozonen.

Nu når perioden er på tre år, har I så tænkt over, om det har været en for dårlig eller billig løsning, I har valgt?

»Ja, det er jo klart, at det har været et it-setup, hvor der har været en svaghed. Det vil jeg gerne bekræfte. Det er så ikke godt nok, når der er sådan en svaghed. Igen er der blevet rettet op på det, og derfor kan kunderne trygt handle på Nemlig.com.«

»Lige præcis dét her skal der være styr på«

It-sikkerhedsekspert ved CSIS Security Group Peter Kruse mener efter at have set kundemailen og dertilhørende bilag, at situationen ser problematisk ud.

»Det er tåkrummende og en smule pinligt,« siger han. »Man kan håbe, at det var en enkeltstående menneskelig fejl, men det kan også være symptom på, at der ikke helt er den styr på dataetik og datakontrol, som man kunne ønske sig af en detailhandel som denne.«

Det afviser Mikkel Pilemand.

»Det vil jeg gerne bekræfte ikke er tilfældet. På grund af bl.a. GDPR i 2018 har vi haft en dyb gennemgang af al vores data og den måde, vores setup er på for på ingen måde at risikere noget.«

Selvom alle kan se, hvad man putter i kurven i Fakta, er det ifølge Peter Kruse et problem, hvis informationen bliver tilgængelig online.

»Det kan i den grad være problematisk. Selvfølgelig kan man stå ved kassebåndet og se, hvad folk hælder ned i deres indkøbskurv, men at det kommer ud i dataform, gør det nemmere for folk at sprede, og så får det en anden effekt. Der kan være masser af privatliv, som bliver krænket. Det kan være alt lige fra medicin til alkohol,« siger Peter Kruse.

Han hæfter sig ved, at de personlige oplysninger har ligget tilgængelige på internettet i tre år.

»Lige præcis dét her skal der være styr på, og varigheden er kritisk. Det viser, at man ikke har overblikket over, hvad det er, man sender ud,« siger han.

For at finde kundernes oplysninger var det nødvendigt at kende en unik IP-adresse samt kundens ordrenummer, men Peter Kruse vurderer, at det for it-kyndige ikke ville have været svært at tilgå oplysningerne.

»Nej, det ville ikke være problematisk. I og med at det har været tilgængeligt via internetlinks, og hvis man ved, hvad man skal søge på, er der risiko for, at det også har været tilgængeligt via Google, Bing eller andre søgemaskiner.«

Mikkel Pilemand siger dog, at han ikke mener, at det har været muligt at tilgå oplysningerne via søgemaskiner.

BRANCHENYT
Læs også