Brutal säkerhetsmiss från Cdon – kundkonton kunde övertas

CDON Logo vintertema

Cdon.com gjorde det möjligt att kapa andras konton bara man kunde rätt personnummer. Det är nästan ofattbart dumt men enligt e-butikens ägare Qliro Group så var det faktiskt ett medvetet beslut att erbjuda möjligheten och ge en bättre kundupplevelse. Seriöst Cdon, verkligen?

Det var i november som Hans Jerry Illikainen hittade det han kallar ett säkerhetshål på Cdon och som innebar att samtliga kunder riskerade att få sina konton övertagna. Genom att registrera ett nytt konto och ange någon annans personnummer som redan var kopplat till ett konto kunde man föra över all information till det nya.

Allt från orderhistorik och fakturor till kvitton på köp. Erik Löfgren är presschef på Qliro Group och i ett meddelande till webbsajten Computer Sweden skriver han att alla kontoövertag granskats manuellt av säkerhetsskäl. Det verkar dock inte vara hela sanningen då Hans Jerry Illikainen gjorde ett övertag av en familjemedlems konto och fann att övertaget skedde nästan omedelbart.

Påstår manuell kontroll – men stämmer det?

Det pekar på att det rör sig om en automatisk kontroll snarare än manuell, så lite tydligare bevis än ett muntlig påstående som inte känns hållbart hade varit behövligt här. Erik Löfgren säger också till Computer Sweden att kortuppgifter inte medföljer vid ett kontoflytt och det får vi absolut hoppas inte sker. Det är illa nog om andra personuppgifter blir tillgängliga för vem som helst.

I skrivande stund går det inte att slå ihop konton på Cdon.com och det tycker vi är ett riktigt bra beslut. Om det är fullt så illa som Illikainen menar att det varit så är nyheten helt klart välkommet och frågan är om något så dåligt säkerhetsbeslut som tagits tidigare ska få gå ostraffat – ja vad tycker ni?

Personnummer kan hittas hur enkelt som helst på en mängd webbsajter, kostnadsfritt och med bara namnuppgifter hittar man snabbt rätt nummer som man vill ha. Det går även att ringa skatteverket som via telefon kan ge ut personnummer om man vill gå den vägen istället.

Läs mer på Computer Sweden.