Cdon


Obefintlig säkerhet eller en smidig tjänst för kunden. Kalla det vad man vill, men resultatet är detsamma: allt som krävts för att kapa någons konto på Cdon.com är personnumret.

Hans Jerry Illikainen, som jobbar med it-säkerhet, upptäckte säkerhetshålet redan i november i år och menar att det innebär att ”samtliga kunder riskerar att få sina konton övertagna”.

Läs också: Frågan du måste svara rätt på när du söker säkerhetsjobb

Processen är skrämmande enkel. Allt som krävs är att man registrerar ett nytt konto och anger någon annans personnummer. När det är gjort förs all information från det befintliga kontot över till det nya – orderhistorik, fakturor och kvitton.

Enligt Cdons moderbolag Qliro Group är det ett medvetet beslut att hantera uppgifterna på det sättet.

– För att underlätta för sina kunder och förbättra kundupplevelsen har Cdon slagit ihop konton för kunder som registrerar fler än ett konto med samma personuppgifter. Cdon har av säkerhetskäl kontrollerat de angivna uppgifterna, manuellt eller per automatik, innan sammanslagningen sker, skriver Qliro groups presschef Erik Löfgren i ett mejl till Computer Sweden.

När Hans Jerry Illikainen tagit över en släktings konto (med dennes tillåtelse) har processen gått igenom omedelbart, något som indikerar att det snarare rör sig om automatisk än manuell kontroll.

Läs också: Databas med alla röstberättigade amerikaners personuppgifter har läckt

Erik Löfgren skriver också att de kortuppgifter som går att spara på Cdons hemsida inte följer med i kontoflytten. Sedan Computer Sweden kontaktat företaget har de också tagit bort funktionen.

– Cdon har slutat att slå ihop konton och utreder för närvarande om bolaget ska fortsätta att arbeta på detta sätt, skriver Erik Löfgren.