Plattformsbolaget Footway OaaS:s plattform Footway+ – som e-handlare som Caliroots, Sportamore och Runforest är kopplade till – var felbyggd och lät kundernas köphistorik, namn, adresser och telefonnummer publiceras öppet på nätet. Det rapporterar Svenska Dagbladet i en granskning.
Koncernen har drygt 600.000 aktiva kunder.
Lite förenklat blev kundernas uppgifter tillgängliga genom länkar i orderbekräftelser från Footway+. Genom en sådan länk kunde kunden komma till sin egen “min sida” på Footway+, där orderhistorik fanns. Eftersom ingen inloggning krävdes, kunde den del av länken som motsvarade mejladressen enkelt bytas ut till en annan persons mejladress (i kodad form) – och ge tillgång till den personens “min sida”.
“För en sofistikerad bedragare är sådan information värdefull. En cyberbrottsling skulle exempelvis kunna samla ihop en stor mängd mejladresser och använda dem för att komma åt personliga uppgifter”, skriver SvD.
När SvD sökte Footway OaaS vd Daniel Mühlbach för att ställa frågor om säkerhetsluckan gjordes systemet om och bolaget svarade kort i ett mejl till tidningen att de “beklagar att detta har inträffat och förstår oron det kan väcka”.
Footway Oaas AB äger Footway+ och Ecom Teams, tidigare Footway Group. Ecom Teams ansökte om rekonstruktion förra veckan, efter en lång och mycket infekterad konflikt med bolagets bank.
LÄS MER: Footway ansöker om rekonstruktion (igen) – “Konstruktiv dialog”
LÄS MER: Storbråk i Footway – banken kräver tillbaka miljoner: "Extremt olyckligt för alla inblandade"