Da digitoday fikk tipset tirsdag kveld, var det bare å skrive inn en bestemt rekke med bokstaver og tegn i nettleserens adressefelt, dermed lå kjernefilene i webserveren og databaseserveren åpne for all verden.
Selskapet installerte sin nyeste nettbutikk-løsning for få uker siden, og har slurvet med sikkerheten i den forbindelse. Sikkerhetshullet har vært kjent siden februar i år, og digitoday ledet selskapet til den Microsoft-siden som inneholder feilfiksen.
- Det er ingen tvil om at dette er alvorlig. Jeg skal melde det opp øyeblikkelig, sier Tom Larssen når han blir gjort oppmerksom på problemene.
_logo.svg.png){kind=logo}
Larssen er direktør for forretningsutvikling og IT i Expert-kjeden, som er morselskapet til Best Buy.
Sikkerhetshullet består av en feil i Microsoft Index Server. Feilen kan utnyttes på enhver nettside som kjører Internet Information Server 4 eller 5, ifølge sikkerhetsselskapet Cerebrus , som oppdaget 'null.htw'-feilen.
Hullet lar en datasnok se kilden til ASP-filer som for eksempel Global.asa, som inneholder brukernavn, passord samt databasenavn - som alle er nyttige for den som ønsker å bryte seg inn på et nettverk.
Da digitoday snakket med tipseren tirsdag kveld, hadde Best Buy nylig fjernet netlogon-boksen fra web-en. Denne boksen gjorde det mulig å logge seg på selskapets databaseserver, med administratorrettigheter. Dette var mulig fordi brukernavn og passord var satt til standardverdier som leveres med databaseprogramvaren, i tillegg til at både brukernavn og passord lå åpent tilgjengelig i Global.asa-filen.
- Disse folkene tar kaka i sikkerhet, mener jeg. Og da jeg ringte og sa fra, slengte de røret i trynet på meg, sier tipseren som til daglig jobber med datasikkerhet, drift og design i et større norsk Internett-selskap. Han sier han kunne ha snust opp alle kundedata på serveren hvis han ville.
- Og selv om de fjerner netlogon så er det utallige muligheter for å ta seg inn på serveren, sier han til digitoday.
- Vi trodde vi hadde fikset alle hullene i systemet vårt. Heldigvis har vi ikke kredittkortnummer eller lignende liggende noe sted, men det hadde jo vært mulig å hente ut endel kundedata fra loggene, for eksempel, sier daglig leder i Best Buy, Harald Kinck.
Han sier selskapet skal gjennomgå sine sikkerhetsrutiner for å unngå lignende situasjoner, og innrømmer at om noen hadde ønsket å skade bedriften midt i julehandelen, så hadde de hatt muligheter til det ved å utnytte dette hullet.
- De kunne ha stoppet butikkdriften totalt, sier Kinck, som også vil sørge for at folk som ringer for å advare om sikkerhetsfeil slipper å få negative tilbakemeldinger.
