Datainnbrudd hos Ikea – opplysninger om 45.000 kunder og ansatte i Norge på avveie

0
1

Angripere fikk med seg personopplysninger til over 45.000 kunder og ansatte i Ikea i Norge. Det var del av et større angrep mot møbelgiganten.

Møbelgiganten Ikea er rammet av et omfattende datainnbrudd som også rammer nordmenn.
Illustrasjonsfoto: Beate Oma Dahle / NTB

19. mars fikk hackere tilgang til 5000 av Ikeas brukerkontoer i utviklingssystemet GitHub ved å utnytte en sårbarhet hos en tredjepart.

Det kommer fram i en avviksmelding Ikea har sendt til Datatilsynet, som NTB har fått innsyn i.

Hackerne klarte å laste ned opplysninger om inntil 3261 ansatte, og navn og adresse til 42.370 kunder. Ikea presiserer i meldingen at det er flere like oppføringer og noen fiktive opplysninger i datasettet. Det reelle antallet berørte er altså trolig lavere.

– Rotårsaken til datainnbruddet skyldes en sikkerhetssårbarhet i en tredjeparts åpen kildekode-programvare som brukes av databehandleren, Ikea IT AB, heter det i avviksmeldingen.

Kan deles

Angrepet skal ha pågått i flere dager, der hackeren klonet flere datasett i GitHub Actions-miljøet til møbelgiganten. Ikea vet ikke hvem som står bak innbruddet.

– Den ukjente hackeren lastet ned personlige data om medarbeidere og kunder som tidligere beskrevet, og har nå tilgang til dataen, skriver de.

– Vi kan ikke anslå hvem eller hvor mange hackeren vil dele dataen med.

De skriver at mulige konsekvenser for de involverte er at de mister kontroll over egne personopplysninger, noe som øker faren for misbruk.

Ingen av opplysningene som er lekket, skal være sensitive personopplysninger.

Det er iverksatt flere tiltak for å hindre lignende hendelser senere, blant annet ved bedre opplæring. Flere av tiltakene som Ikea oppgir, har Datatilsynet unntatt offentlighet.

Varslet Datatilsynet

Ikea i Norge ble varslet av det internasjonale konsernet 15. april, som har meldt inn saken til Datatilsynet i Nederland og Sverige.

– Ettersom Norge er et EØS-land, valgte vi å rapportere det direkte til det norske Datatilsynet kun på vegne av Ikea Norge i tillegg, så alle detaljene i den rapporten gjelder kun Norge, sier pressevakt Alexandra Backström i Ikea Norge til NTB.

Datatilsynet opplyser at de tar meldingen til etterretning, men at det er datatilsynet i Sverige som skal følge opp saken.

– Selv om hendelsen berørte også norske personer, har Ikea sin hovedvirksomhet i Sverige. GDPR regulerer oppfølging av slike såkalte grenseoverskridende saker slik at Datatilsynet i det landet hvor virksomheten har sin hovedvirksomhet, får ansvaret for saken, i dette tilfellet Sverige, sier spesialrådgiver Eirik Gulbrandsen i Datatilsynet til NTB.

Disclaimer : This story is auto aggregated by a computer programme and has not been created or edited by DOWNTHENEWS. Publisher: aftenposten.no