3 blotlagde kundernes data på webshop

Et kæmpehul i sikkerheden på 3s webbutik har givet uhindret adgang til danske 3-kunders kontaktoplysninger. En kunde har klaget til Datatilsynet, som nu kræver en redegørelse af 3.

3 blotlagde kundernes data på webshop

Frem til i dag har det været muligt at bladre sig gennem vilkårlige kundeoplysninger i 3s netbutik takket være et gevaldigt hul i selskabets datasikkerhed.

Hvor længe det har været der, vides ikke, men det kan potentielt have stået åbent siden marts i år, hvor 3 fik ny leverandør af web-shoppen.

Hullet krævede hverken hacker-erfaring eller programmerings-kendskab. Hullet optrådte, når man havde færdiggjort en internet-bestilling. Derpå var det muligt at rode rundt i andre kunders oplysninger ved at udskifte URL’ens afsluttende cifre, der også udgjorde konfirmations-nummeret.

Mobils søstermagasin ComON har i denne uge afprøvet hullet på opfordring af en læser, og vi kan bekræfte, at det let som ingenting var muligt at finde personoplysninger (navn, adresse, telefonnummer og email) på eksisterende 3-kunder.

Af hensyn til datasikkerheden har ComON ikke omtalt bristen før nu, hvor 3 har haft mulighed for at lukke hullet. Det skete i eftermiddag, efter at 3 havde bedt sin eksterne partner om at stramme op for sikkerheden i webshoppen.

3 eller Hi3G, som firmaet korrekt hedder, slipper dog ikke for tiltale.

Tidligere på ugen afleverede en 3-kunde en klage til Datatilsynet over det pågældende hul.

Tilsynets kontorchef Lena Andersen bekræfter, at der er modtaget en sådan klage om overtrædelse af persondataloven.

Ifølge kontorchefen sker det hyppigere og hyppigere, at virksomheder eller offentlige myndigheder kommer til at offentliggøre data eller videregive dem til andre.

Datatilsynet er dog ikke kendt for at udskrive bøder i forbindelse med sagerne. Den primære aktion er at standse fejlen og undgå den i fremtiden. Det samme sker i denne sag.

3 bliver nu bedt om at redegøre for problemet, og de forholdsregler, som man har taget for at undgå dem i fremtiden. Hvad tilsynet efterfølgende vælger at gøre, er ikke oplyst endnu. Men tilsynet pålægger normalt virksomheder tre ting: Fjern data fra hjemmesiden, informér de berørte personer og få oplysningerne slettet hos Google, hvis de er gemt i Googles cache.

-Vi er selvfølgelig smadderkede af det, og derfor har vi også gjort alt for få det rette hurtigst muligt, og det er sket nu, siger Stine Green Paulsen, der er pressechef hos 3.

Lignende sikkerhedshuller har man tidligere set hos Harald Nyborg og IT-Butikken.