Føtex lækkede kunders passwords: Har vidst det i månedsvis
TIP OS: Kender du mere til sagen? Del din viden i en mail til tip@seoghoer.dk
Der blev ikke ruttet med sandheden, da en række af Føtex-kunder tirsdag aften fik besked om, at deres password er blevet lækket til ansatte i firmaets IT-afdeling.
I stedet for at ligge krypteret har de ansatte uhindret kunnet se, hvilket password kunderne har brugt, når de bestiller varer fra Føtex på hjemmesiden hjem.foetex.dk.
Passwordet er del af et såkaldt fælleslogin, der også kunne bruges på hjemmesiderne for Bilka, Netto, Salling og Carl Junior.
Men adskillige væsentlige detaljer i sagen er slet ikke med i mailen fra supermarkedskæden.
I den gør Føtex meget ud af at forsikre kunderne om, at der skam er styr på sagen. Og at kun ganske få ansatte har haft adgang til de dybt personlige passwords.
Artiklen fortsætter under billedet...
I en afgørelse, som Datatilsynet også offentliggjorde tirsdag, fortælles dog en ganske anderledes og mere alvorlig historie.
Det er nemlig ikke få ansatte, men hele 146 personer der har kunnet skaffe sig adgang til passwords.
Har ventet på myndighederne
Salling Group fortæller samtidig onsdag formiddag til SE og HØR, at man i flere måneder har kendt til lækket uden at fortælle kunderne om det.
- Vi har ventet på Datatilsynets afgørelse.
- Den er først kommet i går (tirsdag, red.), siger pressechef i Salling Group Jacob Krogsgaard Nielsen til SE og HØR om grunden til, at firmaet i månedsvis sad på den vigtige viden.
Galt i over et år
Det viser sig nu, at lækket har varet i over et år, hvilket der intet står om i mailen til kunderne.
Problemerne begyndte nemlig fra den dag, hvor hjemmesiden til at bestille varer på blev lanceret, 8. februar 2021.
Men det er altså først nu, at kunderne får besked og bliver bedt om at ændre deres passwords på alle deres webtjenester.
Ifølge pressechefen er det kun en håndfuld af de 146 ansatte, der har haft direkte adgang til alle passwords. Resten har skullet "lede efter dem".
- Vi anerkender, at det ikke er godt nok, at de her passwords har ligget internt blottet.
- Men vi er uenige i, at der er en risiko for, at de her passwords kan være blevet misbrugt, som Datatilsynet siger, forklarer Jacob Krogsgaard Nielsen til SE og HØR.
Han understreger samtidig, at det er firmaets vurdering, at ingen passwords er blevet misbrugt. Også selvom Føtex ikke med sikkerhed ved det, fordi man ikke har logget, hvornår en medarbejder eventuelt har kigget på netop disse passwords.
- Vi har ingen grund til at tro, at nogen har kigget på de her passwords, for der er ikke incitament til at finde dem frem, fastslår Jacob Krogsgaard Nielsen.
Så alvorligt var det
Hvis uvedkommende fik adgang til brugernavn og password, ville vedkommende kunne logge på andre af Sallings Groups tjenester, hvor Salling Group profilen er adgangsgivende – selvfølgelig afhængig af, hvilke tjenester det pågældende brugernavn og password var gyldigt til – og derved få adgang til navn, adresse, mailadresse, telefonnummer, og eventuelle maskerede kortoplysninger og købshistorik.
Der er videre en teoretisk sandsynlighed for, at kunden kan have brugt samme mailadresse og password til andre tjenester ved andre dataansvarlige, og en uautoriseret adgang til de ukrypterede passwords kunne således hypotetisk give adgang til f.eks. sociale medier, streamingtjenester, mailkonti eller lignende.
Salling Group anbefaler alligevel deres mange kunder, at de for en sikkerheds skyld ændrer deres password.
Og altså også hos alle andre tjenester, hvor de har brugt samme password som på hjemmesiden hjem.foetex.dk.