Hajpade fintechbolagets databas låg helt öppen

2019-07-22 11:10  
Bitcoin - en digital valuta, skapad 2009, vars huvudsyfte är att möjliggöra betalningar över Internet direkt mellan användare utan inblandning av tredje part. Foto: Janerik Henriksson

En vecka efter den framgångsrika börsdebuten upptäckte externa säkerhetsexperter att fintechbolaget Quickbits system mot bedrägerier låg helt öppet på internet. Vd:n kallar incidenten för "närmast komiskt".

Svenska Quickbit grundades 2016 med ambitionen att hjälpa e-handlare att erbjuda kunder att betala varor och tjänster med kryptovalutor, exempelvis Bitcoin.

Nyligen installerade bolaget ett extra säkerhetssystem mot bedrägerier. Systemet hanterar internationella spärrlistor som stoppar kända bedragare och personer i politisk utsatt ställning (PEP) att handla hos e-handlare knutna till Quickbits system.

Låg helt öppen

Externa säkerhetsexperter upptäckte dock att det nya systemet under leveransperioden i några dagar låg helt öppet på internet. Personer med rätt kunskap och verktyg hade lätt kunnat läsa i systemets databas.

Quickbit skriver i ett kort pressmeddelande att den åtkomliga databasen hade information om namn, e-postadresser samt ej kompletta kortuppgifter för cirka två procent av bolagets kunder. Företaget påpekat samtidigt att inga känsliga uppgifter såsom lösenord, personnummer eller kompletta kreditkortsuppgifter har varit åtkomliga när den berörda databasen fanns utanför Quickbits brandväggar.

"Närmast komiskt"

– Det är närmast komiskt att vi som har säkerhet som en av våra absolut viktigaste försäljningsargument drabbas av det här. Ingen av våra kunder eller vi har dock tagit skada av den här incidenten, säger Quickbits vd Jörgen Eriksson som inte vill gå in mer på vem som är leverantör av systemet.

Den öppna databasen (Mongo DB) upptäcktes den 2 juli av det brittiska underskningsföretaget Comparitech i samarbete med säkerhetsexperten Bob Diachenko.  Enligt deras genomgång omfattade databasen 301 470 poster, eller så kallade event.

Quickbit EU fick en raketstart när bolaget nyligen börsnoterades. Aktien steg i den inledande handeln med över 350 procent.  Bolaget skickade ut ett pressmeddelande om säkerhetsmissen 17.30 den 19 juli.

– Jag har jobbat inom fintech i 35 år och det här är egentligen en icke-händelse. Nu är vi börsnoterade sedan två veckor och omfattas av strikta informationsregler. Vi har jobbat hela helgen med att ta fram en incidentrapport och säkra att säkerheten nu är som den ska vara, säger Jörgen Eriksson.

Quickbit avser inom kort att publicera en publik version av incidentrapporten på sin hemsida.

Per Danielson

Kommentarer

Välkommen att säga din mening på Ny Teknik.

Principen för våra regler är enkel: visa respekt för de personer vi skriver om och andra läsare som kommenterar artiklarna. Alla kommentarer modereras efter publiceringen av Ny Teknik eller av oss anlitad personal.

  Kommentarer

Debatt