Oppdatert kl 17.55 med svar fra Are Slettan på spørsmål om sikkerhetsoppdateringer i Magento.
En tidligere utgave av Intersports nettbutikk har vært utsatt for dataangrep, og betalingsinformasjon fra enkelte kunder er kommet på avveie.
En granskning ble umiddelbart iverksatt for å kartlegge angrepet og forhindre ytterligere konsekvenser. Intersports nåværende nettbutikk er ikke berørt av angrepet, opplyser selskapet.
Angrepet er knyttet til utsjekking fra nettbutikken Intersport.no, sannsynligvis i deler av perioden 17. april til 18. juni i år.
Ber kundene ta kontakt om de oppdager noe mistenkelig
Kunder som har handlet på Intersport.no i den aktuelle perioden bes kontrollere kontoutskrifter og kredittkortregninger og umiddelbart kontakte sin bank dersom de oppdager noe mistenkelig, opplyser selskapet. Angrepene har ikke påvirket kjøp i fysiske butikker.
– Vi tar dette svært alvorlig og beklager ulempene det kan ha påført våre kunder. Da vi fikk mistanke om et mulig dataangrep i sommer, iverksatte vi umiddelbart en granskning. Av hensyn til åpenhet og våre kunder velger vi å varsle så tidlig som mulig, selv om vi ikke kjenner alle detaljene ennå, sier Lars Kristian Lindberg, adm. direktør i Intersport Norge i en pressemelding.
Angrepet er rettet mot utsjekkingsprosessen i nettbutikken, og rammer ikke kjøp i fysiske butikker.
Intersport Norge har satt igang en kartlegging i samarbeid med eksterne sikkerhetseksperter og forretningspartnere av de tekniske detaljene i angrepet, og hva slags informasjon som eventuelt kan være på avveie.
Flere angrep mot Magento 2
Tilsvarende angrep har forekommet mot Intersports nettbutikker også i andre land.
– Det har tidligere vært meldt om flere angrep mot netthandelsplattformen Magento 2, som Norge og flere av landene der Intersport har virksomhet bruker, sier pressekontakt for Intersport, Are Slettan, i Corporate Communication, til Digi.no.
Intersport i flere land, inkludert Norge, har byttet over til en ny netthandelsløsning basert på Salesforce. I Norge skjedde dette 18. juni.
– Derfor kan vi si helt sikkert at det ikke gjelder etter 18. juni, sier Slettan.
Byttet av plattform skal ikke ha hatt sammenheng med angrepet.
Av hensyn til granskingen ønsker han ikke å svare på spørsmål om hvordan de kan vite at angrepet ikke kan ha rammet kjøp før 17. april.
– Vi vil ikke gå i detaljer om hvordan vi vet det, men vi vet det, sier han.
Sikkerhetsfikser sendt ut i oktober 2019
Det Adobe-eide selskapet Magento leverer en av de aller mest brukte programvareplattformene for nettbutikker. I fjor høst kom selskapet med svært omfattende sikkerhetsoppdateringer til programvaren som fjernet flere titalls sårbarheter.
Flere av sårbarhetene var alvorlige og kunne brukes til å gjøre mye skade. Den ene gjorde det også mulig for selv ikke-innloggede brukere å injisere skadevare i nettbutikkene gjennom mal-metoder knyttet til Page Builder-komponenten. Denne skadevaren kan potensielt brukes til å angripe nettbutikkenes kunder.
Alvorlig sårbarhet lar kriminelle spre skadevare via nettbutikker
Les mer om Magento-sårbarhetene her.
Digi.no har tidligere erfart at ikke alle forhandlere er like nøye med å installere de nyeste sikkerhetsoppdateringer.
– Vi går ikke inn på denne typen tekniske detaljer nå, av hensyn til den pågående granskningen, svarer Slettan på spørsmål om hvorvidt Intersport Norge har installert sikkerhetsoppdateringene Magento kom med i fjor høst eller ikke.
Senere onsdag ettermiddag bekrefter Slettan i en e-post at sikkerhetsoppdateringen var installert.
– Kundene skal ikke tape penger
Betalingskort-informasjon for kunder som ikke handlet i perioden 17. april til 18. juni skal ifølge Intersport Norge ikke være berørt. Det er foreløpig ingen indikasjon på at andre personopplysninger er kommet på avveie, men dette kan heller ikke utelukkes før den pågående granskningen er ferdigstilt, opplyser selskapet.
– Hva slags konsekvenser vil angrepet kunne ha for kundene?
– Jeg kan ikke gå i detaljer om det nå. Men den klare hovedregelen når det gjelder kortbruk er at med mindre man har opptrådt uaktsomt skal man ikke tape penger på det. Og det er ingen grunn til at kundene skal ha gjort det her, svarer Slettan.
– Vil kundene få erstattet eventuelle økonomiske tap som følge av angrepet?
– Det er hovedregelen, men i prinsippet er det en sak mellom kunden og banken, sier han.
Kunder som handlet på nett i den aktuelle perioden vil bli kontaktet direkte.
Enhjørninger: Stanger mot veggen – men dette selskapet har suksess