Komplett: - Vi er ikke hacket!

Hacker hevder å ha stjålet data om 3,1 millioner kunder.

Anders Brattensborg Smedsrud

Publisert 11. april

Torsdag dukket en melding med en kjent logo og navn i seg opp på et hackerforum:

– I dag legger jeg ut databasen fra Komplett.no, en av de største butikkene i Norge.

Det skriver den anonyme kontoen «Dulnex», som hevder å sitte på data om over 3,1 millioner Komplett-kunder. Data som navn, hjemadresse, telefonnummer, betalingsinformasjon og fakturaer med informasjon om hva du har bestilt.

Nå er disse angivelig dataene om mange millioner nordmenn til salgs til høystbydende. Enten gjennom hackerforumet, eller krypterte plattformer som russiske «telegram» eller appen «Session».

Brukeren gir en gratis «smakebit» på det kjøperne kan vente seg, og flere nordmenn får navn, adresse og telefonnummer vist frem åpent, sammen med valgt betalingsløsning, ordredato og IP-adresse.

Det hele ser reelt ut.

Daniel Hauan, som er kommunikasjonsansvarlig hos Komplett, er imidlertid klar på telefonen:

– Vi har ikke blitt hacket!

– Vi ble kontaktet av norsk sikkerhetsmyndighet i dag tidlig, og har brukt dagen på å sjekke grundig i systemene våre sammen med den eksterne sikkerhetspartneren vår som er godkjent av NSMNSMNasjonal sikkerhetsmyndighet (NSM) er en norsk statlig etat som har ansvar for å beskytte nasjonal sikkerhet, blant annet gjennom å overvåke og håndtere trusler mot informasjonssystemer.. Uten å finne noen indikasjoner på datainnbrudd, sier Hauan til Tek.no.

Han opplyser at de har folk som overvåker systemene deres kontinuerlig, og at de har lang erfaring med håndtering av denne type situasjoner, som også er grunnen til at de rask kunne slå fast at de ikke har hatt datainnbrudd.

Hauan påpeker at Komplett aldri har blitt hacket.

– For øvrig er det også flere år siden vi lagret kortinformasjon hos oss. DatatilsynetDatatilsynetDatatilsynet er en norsk offentlig etat som har ansvar for å overvåke og sikre at personopplysninger behandles i samsvar med personvernlovgivningen. differensierer mellom personlig og sensitiv informasjon. Og ingen av dataene som er lagret hos oss er betegnet av dem som sensitive.

På hackerforumet ligger det lister med angivelige Komplett-kunder og telefonnummer samt betalings/leveringsmåte for disse åpent. Er disse falske?

– Vi har registrert en håndfull tilfeller der kundekontoer på Komplett har blitt brukt til å hente ut informasjon om ordre. Dette har skjedd som følge av datalekkasjer hos andre aktører – ikke hos oss. Mange bruker samme e-post og passord på flere nettsider, og når denne informasjonen er blitt lekket andre steder, kan uvedkommende forsøke å bruke den på flere plattformer. Det er altså kombinasjonen av gjenbrukte passord og tidligere eksterne lekkasjer som har ført til at enkelte kontoer har vært utsatt.

Hvorfor har noen løyet om at de har hacket dere?

– Det er ikke første gang denne personen gjør dette, sier Hauan om den anonyme brukeren fra hackerforumet.

– Forrige uke «hacket» han også en butikkjede fra Sveits. Har man noe å «tease» med, kan det virke plausibelt at man har noe å komme med også, sier han, og sikter til at brukeren jo ønsker å tjene penger på et salg av de angivelige opplysningene.

Hauan oppfordrer alle kunder å sjekke at deres e-post ikke er utsatt for lekkasjer hos andre aktører via tjenesten HaveIBeenPwned.

Det er ekstra viktig dersom du bruker samme kombinasjon av e-post og passord på flere nettsteder.