ANGREPET: I nesten tre timer kopierte ukjente bakmenn personlig informasjon om kundene til IKEA. Angrepet skjedde i mai år. Foto:Jan Ovind,VG

Møbelgiganten ville holde dataangrep hemmelig: Personlige opplysninger om IKEA-kunder stjålet

Møbelkjedens nettsted ble angrepet og personopplysningene til flere hundre kunder ble stjålet.

Sverre Holm-Nilsen
ARTIKKELEN ER OVER FIRE ÅR GAMMEL

Den 25. mai i år brøt uvedkommende seg inn i datasystemene til de norske nettsidene til møbelgiganten IKEA.

Angrepet varte i nesten tre timer før IKEA klarte å stanse det, og i løpet av denne tiden forsynte angriperne seg personlige opplysninger til 313 norske kunder.

Dette kommer fram i en avviksmelding IKEA sendte til Datatilsynet i juni i år. I brevet ber IKEA om at hele brevet unntas offentligheten.

Utnyttet svakhet

I avviksmeldingen som er datert 10. juni, skriver IKEA at de avdekket angrepet kl. 07.50 på morgenen. Uvedkommende drev da med uautorisert kopiering av kundeopplysninger fra IKEA.no.

I brevet til Datatilsynet skriver IKEA at innbruddstyvene utnyttet en svakhet i systemet.

Les også: Biler mer og mer sårbare for hacking - fant sikkerhetshull hos 2,2 mill. BMW'er

Angrepet ble avsluttet kl. 10.35. IKEA sier at opplysningene som ble kopiert ikke var av en sensitiv art.

– Dataene som ble kopiert inneholdt ikke noen sensitive opplysninger som vi tror kan skadene kundene på noen måte. Dette er opplysninger man kan finne igjen i telefonopplysningen dersom man ikke er reservert der: navn, adresse og telefonnummer. Noen kunder har fått kopiert bare navn, andre navn og adresse og atter andre navn, adresse og telefonnummer avhengig av hva de har registrert seg med på vår nettside, sier kommunikasjonssjef i IKEA, Jan Christian Thommesen til VG.

Tre barn falt ned trappa: IKEA tilbakekaller barnegrind

I avviksmeldingen skriver selskapet at de vil undersøke om den samme sårbarheten finnes flere steder i systemet.

I avviksmeldingen beskriver selskapet også sikkerhetstiltakene de har gjennomført etter angrepet. På bakgrunn av dette ønsket IKEA at avviksmeldingen skulle unntas offentligheten.

Forskere bekrefter fenomen:Hjemturen føles virkelig kortere

Ukjente bakmenn

IKEAs representant sier at svakheten som ble utnyttet nå har blitt utbedret. Møbelkjeden har gjennomført en egen granskning av angrepet, men foreløpig er det uvisst hvem som har kopiert kundenes personopplysninger.

– Det er jobbet med denne saken en stund siden vi oppdaget det, og for oss har vern om kundeopplysninger høy prioritet. Angrepet ble umiddelbart stoppet og det ble satt i gang granskning. Å spore denne typen angrep er vanskelig, men aktiviteten ble stoppet umiddelbart, sier Thommesen.

Les også: Finske tenåringer kan ha stått bak Sony-hacking

Kommunikasjonssjefen sier at de ikke har opplevd et angrep av dette formatet tidligere. Kundene som har fått personopplysninger på avveie har blitt varslet av IKEA.

– Vi varslet myndighetene om dette da vi hadde avsluttet granskningen vår. Det er ikke noe krav om å varsle kundene, men vi gjorde det likevel pr. post, avslutter Thommesen.

– Svakhet

Kommunikasjonsdirektør i Datatilsynet, Ove Skåra, sier til VG at de har mottatt avviksmeldingen og er fornøyd med tilbakemeldingene fra selskapet.

Han sier at det er alvorlig når uvelkomne kan gå inn og hente ut personlige opplysninger fra en nettside, men bekrefter at det i dette tilfellet ikke ble hentet ut kontoinformasjon og sensitive, personlige opplysninger.

– Det var en svakhet som profesjonelle aktører ikke skal ha, men de har utbedret feilen og sendt avviksmeldingen. Etter at feilen ble oppdaget har IKEA gjort alt riktig, sier Skåra til VG.

Les også: 17-åring innrømmet dataangrep mot banker

Kommersielt samarbeid: Rabattkoder