Webselskapet Increo Interactive Creations AS utvikler og drifter en rekke nettsider og nettbutikker for en lang rekke oppdragsgivere. Fredag morgen melder de at uvedkommende har klart å komme seg inn i selskapets servere.
Både Eplehuset, butikk-kjeden som har spesialisert seg på Apple-produkter, og Oslo Sportslager varslet fredag sine kunder om innbruddet.
– På serveren ligger vår kundedatabase som blant annet inneholder våre kunders innloggingspassord til eplehuset.no. Passordene er oppbevart i kryptert form, men vi ønsker likevel å være føre var i den situasjonen som er oppstått, og har derfor av sikkerhetsmessige årsaker valgt å nullstille alle passord i hele systemet. Dersom De har brukt samme passord på eplehuset.no som De har brukt andre steder på internett vil vi samtidig oppfordre til å endre dette passordet de stedene det kan være brukt, skriver Eplehuset i en e-post til sine brukere.
Tilsvarende mailer blir nå sendt fra flere Increo-kunder. Blant annet har selskapet Minde Sjokolade, NTNU og hjemmesiden til Fredrik Skavlan kan være rammet.
Daglig leder i Increo, Joakim Ramstad, bekrefter at de har blitt utsatt for et innbrudd.
– Vi kan ikke si med sikkerhet hvor mange som er berørt, men vi handler som om inntrengerne har hatt tilgang til alt, sier Ramstad.
– Når oppdaget dere innbruddet?
– Vi oppdaget dette 27. september, svarer Ramstad.
– Hvorfor informerer dere kundene først nå, over en måned etter?
– Det var for å forhindre at det kommer flere innbrudd gjennom de samme hullene, sier Ramstad.
Han vil ikke kommentere hvilke hull inntrengerne skal ha benyttet seg av sikkerhetsmessige årsaker. Innbruddet vil nå bli en politisak. Det melder selskapet selv på en nettside de har satt opp for å informere om hendelsen.
Ramstad understreker at det ikke var noen kortinformasjon på systemene som kan ha blitt kompromittert. Heller ikke sensitive personopplysninger skal være på avveie.
- Forståelig
Eplehuset ønsker ikke å kritisere sin leverandør, på tross av at Increo valgte å vente godt over en måned med å informere om datainnbruddet.
- Jeg kan forstå det ut fra et datasikkerhetsperspektiv. I det øyeblikk man går ut med denne typen informasjon legger man seg også klar for hugg. Sjansen er da større for at andre vil prøve seg, sier kvalitetsleder Hallvard Opheim i Eplehuset til digi.no.
Opheim strekker seg til at han gjerne skulle fått beskjed noe tidligere, men ønsker ikke å kritisere leverandøren, som de har hatt et langt og godt forhold til i nærmere syv år.
- Når skaden først har skjedd er det lite vi kan gjøre med det.
Eplehuset har hatt et svært travelt døgn etter de ble gjort kjent med forholdet. Opheim sier de ikke vet om deres database er «tatt», men at de har tatt forholdsregler for å være på den sikre siden. Det innebærer at alle brukernes deres har fått passordene sine nullstilt.
- Dette påvirker oss med at vi har et større system bak nettbutikken enn det som er synlig for brukerne. Vi har måttet ta grep for vår passordsikring og klargjøre informasjonen som vi har sendt ut til kundene våre i dag, sier kvalitetssjefen.
Opheim påpeker at databasen deres er kryptert og at risikoen for misbruk derfor skal være liten.
- Vil datainnbruddet få konsekvenser for kundeforholdet Eplehuset har med Increo?
- Det er for tidlig å ta stilling til nå. Nå er fokuset vårt å prøve å få oversikt over situasjonen og hva vi kan gjøre. Så får sånne ting komme i etterkant, sier Hallvard Opheim til digi.no.
