Tech20. juli 2022 (opd. 20. juli 2022)

Føtex lækker kundernes passwords: Skift det omgående!

I op til en måned ad gangen har ansatte hos Føtex kunne snage i kundernes passwords - meget beklageligt, siger firmaet, der har meldt sig selv til Datatilsynet
Føtex har lækket kundernes passwords
Selvom det alene er ansatte i IT-afdelingen, der har kunne se kundernes passwords, er der tale om en alvorlig sag, som Datatilsynet har kastet sig over.
 Foto: Michael Drost-Hansen/Ritzau Scanpix

SENESTE: 146 havde adgang til passwords - vidste det i månedsvis

TIP OS: Kender du mere til sagen? Del din viden i en mail til tip@seoghoer.dk

En af Danmarks største supermarkedskæder, Salling Group, har problemer med at beskytte kundernes dybt private passwords godt nok.

Det erkender firmaet selv i en mail til et ukendt antal kunder, som bruger den såkaldte hjemmelevering hos Føtex.

I mailen, som SE og HØR har en kopi af, erkender firmaet, at man efter "en menneskelig fejl" har givet ansatte i IT-afdelingen adgang til kundernes passwords.

Og det er faktisk ganske alvorligt, da mange danskere genbruger deres passwords på tværs af hjemmesider. Også selvom det er en rigtig dårlig idé at gøre.

Normalt skal passwords, som du taster ind på for eksempel Føtex' hjemmeside, derfor ligge krypteret, så selv ansatte i et firma ikke kan se dem.

Vi har ingen grund til at tro, at dit password er blevet misbrugt

Føtex i mail til kunderne

I stedet har kundernes passwords i op til en måned ad gangen været synlige, hvis de ansatte i IT-afdelingen gik ind og ledte efter dem.

Det er uvist, hvor længe lækket samlet set har varet. Det får kunderne nemlig ikke besked om i mailen.

Artiklen fortsætter under billedet...

Mail fra Føtex
Sådan ser mailen ud.
 Skærmdump

Føtex vurderer ifølge mailen til kunderne dog ikke, at de ansatte har misbrugt adgangen. Samtidig understreger firmaet, at der er tale om "ganske få interne medarbejdere", som har kunne gøre det.

"Det er ingen uden for Salling Groups IT afdeling, der har kunnet se dine oplysninger. Heller ikke andre kunder," forsikrer firmaet.

"Vi har ingen grund til at tro, at dit password er blevet misbrugt."

Alligevel rådes de ramte Føtex-kunder nu til at ændre password både hos Føtex og på alle andre tjenester, hvor de har brugt samme password.

"Det kan f.eks. være, hvis du har brugt det samme password på din e-mailkonto, Netflix, Facebook m.v."

Føtex har samtidig slettet alle logfiler og taget det værktøj, hvor lækket er sket i, ud af drift.

"Ligeledes anmeldte vi naturligvis sikkerhedsbruddet til Datatilsynet med det samme."

Så alvorligt var det

Hvis uvedkommende fik adgang til brugernavn og password, ville vedkommende kunne logge på andre af Sallings Groups tjenester, hvor Salling Group profilen er adgangsgivende – selvfølgelig afhængig af, hvilke tjenester det pågældende brugernavn og password var gyldigt til – og derved få adgang til navn, adresse, mailadresse, telefonnummer, og eventuelle maskerede kortoplysninger og købshistorik.

Der er videre en teoretisk sandsynlighed for, at kunden kan have brugt samme mailadresse og password til andre tjenester ved andre dataansvarlige, og en uautoriseret adgang til de ukrypterede passwords kunne således hypotetisk give adgang til f.eks. sociale medier, streamingtjenester, mailkonti eller lignende.

Kilde: Afgørelsen fra Datatilsynets sag

Sponsoreret indhold