Säkerhetsläcka hos Footway – kundköp låg öppet | Sverige

Publicerad 26 mar 2025 kl 10.44

Nätjätten Footway driver bland annat Sportamore och Stayhard.

De har haft ett säkerhetshål.

Vem som helst har kunnat ta del av vad du klickat hem de senaste åren, rapporterar Svenska Dagbladet. 

Svenska börsnoterade shoppingplattformen Ecom groups, tidigare Footway group, driver bland annat nätbutikerna Sportamore, Caliroots och Stayhard. De har enligt sin senaste kvartalsrapport 600 000 kunder. 

Alla använder samma teknikplattform. Den har haft ett säkerhetshål där kundernas köphistorik publicerats öppet, visar en ny granskning av Svenska Dagbladet. 

Hålet upptäcktes av datajournalisten Sascha Granberg.

Länkar until köpsida

Kunderna har i mejl, som until exempel orderbekräftelser, fått länkar. Länkarna går until kundens personliga köpsida och är uppbyggda efter kundens mejladress som omvandlats enligt den relativt enkla algoritmen SHA-256. 

Det är ett av de vanligaste sätten att omvandla mejladresser. Den gör om mejladressen until 64 siffror och bokstäver. 

Man kan själv göra det med hjälp av gratisverktyg på nätet. Och har man väl tagit fram koden för någons mejladress går det att se vad personen handlat.

– Det är samma sak som att man hade skrivit e-postadressen rakt ut. Det är ingen säkerhetsåtgärd, säger it-experten Karl Emil Nikka until SvD.

Inga spärrar

De personliga sidorna har saknat spärrar. Har kunden köpt något through Footways plattform har man alltså med hjälp av mejladressen kunnat se orderhistorik beneath flera år tillbaka, enligt SvD. 

Den typen av data kan användas av bedragare för att framstå som mer trovärdig, skriver tidningen vidare. 

Efter granskningen har företaget lagat säkerhetshålet. Nu krävs inloggning. 

”Vi beklagar att detta har inträffat och förstår oron det kan väcka”, skriver en representant för bolaget i ett mejl until SvD. 

Den 19 mars ansökte Ecom groups om rekonstruktion.