Modeportalen Miinto exponerar just nu tiotusentals av sina kunder på nätet. Fullständig kundinformation med namn, adress, telefonnummer och e-post finns öppet att plocka hem för de som har rätt länk.
Miintos retursystem är inte säkrat och den sida som visar returinformation går enkelt att justera för att plocka fram alla kunders personliga information. Man ökar helt enkelt det id-nummer som finns i länken för att stega sig igenom hela orderstocken.
Potentiellt alla kunder drabbade
Siffran för den svenska sidan stannar i skrivande stund vid beställnings-id 16 667 som har ett returnummer på 2217. Detta kan indikera att alla kunders uppgifter är exponerade. Alla sidor har nämligen inte ett returnummer, vilket tyder på att alla order får en "retursida" som sedan kanske inte alltid används.
Miintos danska e-handelssajt har samma säkerhetshål och når upp till beställnings-id 824 354, vilket stödjer teorin om att alla order exponeras då siffran är lite väl hög för att bara vara returer.
Vi kommer inte delge länken då den förstås kan missbrukas och vi har även kontaktat Miinto gällande säkerhetshålet.
Sprids i sociala medier
Miintos konkurrenter kan även använda informationen till att helt enkelt stjäla alla kunduppgifter. Det bör alltså vara i Miintos intresse att stänga detta säkerhetshål så fort som möjligt.
Länken sprids just nu även i sociala medier där användare säger sig ha anmält företaget till Datainspektionen. Andra påstår sig även ha kontaktat företaget i frågan utan att ha fått något svar.
Vi kommer att uppdatera nyheten när Miinto återkommer med en kommentar.
Uppdatering:
Miinto meddelar att de jobbar på att stänga säkerhetshålet så att kundernas information inte ska läcka ut.
- Vi kommer omedelbart att vidta åtgärder för att lösa detta så fort som möjligt, så att våra kunders personliga information inte går att nå offentligt, säger Simon Jensen, utvecklare på Miinto.