Ikea nära mejlkatastrof

Kontaktformuläret på Ikeas danska och norska sajter var ett enkelt mål för hackare.

– Är du tekniskt kunnig så kunde du manipulera formulärets mejladress för att skicka spam från mejladresser hos Ikea, säger Ola Troedsson som ansvarar för datorsystemen som CIO på Ikea IT, till Realtid.se.

– Så vitt vi vet har det inte skett.

Eftersom Ikea sköter hemsidor för 27 länder centralt, så ska felet vara åtgärdat överallt.

– Det är inga problem någonstans just nu, säger informationschefen Marianne Barner.

– Det är första gången jag ser något så uppenbart slarvigt hos ett så stort företag, säger Peter Kruse från säkerhetsföretaget Csis till danska Computerworld.

– Du ser vad de skriver. Tyvärr så är det så, säger Marianne Barner.

Ikea förklarar missen med den mänskliga faktorn.

En programmerare missade att skydda formuläret mot så kallad cross-site scripting. Ingen testade att formuläret höll, innan det började användas.

– Det är en kontroll i arbetsprocessen som inte utfördes, säger CIO Ola Troedsson.

– Textinmatning, som adresser och fritextsökningar, måste man hårdkolla, säger Per Hellqvist, expert hos it-säkerhetsföretaget Symantec.

– Klassiska misstag är till exempel telefonnummer. Om man inte validerar att det är högst åtta tecken och bara siffror, så kan vem som helst lägga in kodsnuttar där och på så sätt komma åt databasen bakom. Jag tror att det var ett av ingångsstegen hos Aftonbladet 2006.

Signaturen ”Vuxna Förbannade Hackare” påstår sig ha brutit sig in på Aftonbladets datorer 2006 för att läsa tips som skickas med sms till tidningen.

För en vecka sedan, under nyårsnatten, angrep signaturen ”Vuxna Förbannade Hackare” TV3:s hemsida.

Men publiciteten uteblev.

Då blev det för lockande att avslöja att intrånget på Aftonbladets för två år sedan inte var avhjälpt. Användarnamn och lösenord till vd, journalister, IT-chefen och flera chefredaktörer hamnade på internet – en lista över mer än tusen användare.

Flera personer utnyttjade tillfället att läsa verkliga och skriva falska mejl i Aftonbladets namn. Därför kan tidningen inte längre garantera tipsare anonymitet, vilket de har rätt till enligt grundlagen.

Men samma sak kan inte hända hos Ikea, eftersom företaget fortfarande använder ”ett uråldrigt mejlsystem”.

– Genom internet kan du inte komma in i vårt ordinarie mejlsystem. Att hacka sig in i vårt mejlsystem går inte. Den risken är näst intill noll, säger Ola Troedsson.

– Man kör ju valideringar normalt. Vi har en stark firewall. Vi motstår 20-30 hacker-attacker varje vecka.

Men Peter Kruse på Csis, som upptäckte säkerhetsluckan, är inte imponerad.

– En flink webb-programmerare skulle kunna rätta till felet på tio minuter, säger han till Computerworld.

I stället har IKEA valt att ta bort kontaktformuläret från den danska och den norska sajten.

– Så fort vi fick reda på det så tog vi bort det, säger Ola Troedsson.

Nu är ett nytt formulär på väg.

– Det är inte så krångligt att lägga dit ett nytt, men vi har som princip att inte lägga förändringar i produktion fredag till söndag.

Det dröjer till på tisdag, eftersom Ikea inte vill röra något innan helgen, då hemsidan har många besökare.

Det går fortfarande att mejla till Ikea från ett formulär på möbeljättens svenska sajt.

– Det är en annan konstruktion. Den svenska sajten är inte berörd, säger Ola Troedsson.