Här lurar han Åhléns system

”Jag ville testa om det gick” – Nu är Johan, 18, polisanmäld av Åhléns

Klädkedjan Åhléns har utsatts för ett avancerat bedrägeri mot sitt nya presentkortssystem.

Enligt Johan Höglund, 18, som står bakom hackningen, var syftet bara att visa på ett säkerhetshål.

Men Åhléns har polisanmält honom.

På communitysajten hamsterpaj.net, som Johan är vd och grundare för och driver tillsammans med en kollega, finns sedan några dagar tillbaka en detaljerad beskrivning på hur bedrägeriet eller hackningen gick till. Förenklat kan man säga att Johan fann ett sätt att klona ett tomt presentkort och sedan ladda ursprungskortet med pengar. Samtliga klonade kort laddades då automatiskt med samma summa pengar.

– Jag ville testa om det gick att genomföra. Jag är intresserad av it-säkerhet och här fanns ett hål i säkerhetssystemet som jag ville täppa till.

Instruktion

Syftet var aldrig att stjäla några pengar, vilket Johan inte heller gjort.

– Vi handlade för det fejkade presentkortet, men inte för mer än vad vi själva hade laddat det med, säger han till aftonbladet.se. Efter att vi lyckats så skrev jag till Åhléns och berättade vad som hade hänt.

Han skrev också en ”manual” på hamsterpaj.net hur hackningen hade genomförts steg för steg.

– Det finns huvudsakligen två förutsättningar för att vi skulle kunna lura Åhléns. Det ena är att kunderna i butiken fritt kunde plocka på sig tomma presentkort. Det andra är att presentkorten har en låg säkerhetsnivå med enbart tryckta kortnummer, inte stansade.

Någon reaktion från Åhléns har inte Johan fått, säger han. Men Anders Lundkvist, säkerhetschef på Åhléns är väl insatt i vad som hänt:

– Vi har skrivit till de ansvariga och bett dem att ta bort beskrivningen av hur bedrägeriet gick till. Vi har också polisanmält det som hänt. Det är en avancerad form av kontokortsbedrägeri som de ägnat sig åt.

Syftet lär ha varit att peka på en säkerhetsbrist?

– Ja, det kan vara så. Men varför lägga ut en instruktion på nätet i sådana fall. Nu får åklagare ta ställning till om det begåtts något brott.

Täppt till

Johan Höglund säger sig inte ha hört ett ljud från Åhléns.

– Om de hade bett oss att ta bort artikeln från nätet så hade vi väl kunnat diskutera det med dem. Men jag har inte hört någonting, säger han till aftonbladet.se på tisdagskvällen.

Johan Höglund säger sig också ha tipsat Åhlens om hur de ska bära sig åt för att täppa till säkerhetshålet.

Har ni gjort det?

– Ja, det har vi. Dels förvarar vi numera presentkorten bakom kassadisken. Dels har vi vidtagit tekniska åtgärder som ska göra den här typen av bedrägeri omöjliga, säger Anders Lundkvist. Men exakt vad det är tänker vi inte berätta för någon. Det kan väl den där killen få fundera på själv.

Enligt Lundkvist har ingen kund blivit drabbad. Och om det skulle dyka upp något fall lovar han att den enskilde ska hållas skadeslös.