Nyheter

Kundeinfo lå åpent i Æ-appen

I nesten to uker etter lansering av Rema-appen Æ, lå mye info om kundene åpent tilgjengelig, skriver Stavanger Aftenblad. Rema 1000 forsikrer kundene om at det ikke er grunn til bekymring.

Redaksjonen
Publisert Sist oppdatert

– Jeg opplever det som temmelig uforsvarlig at en så stor aktør som Rema 1000 får seg til å lage en app uten noe som helst sikkerhet. Har Rema 1000 hastet prosjektet Æ i land på bekostning av sikkerhet og personvern, synes jeg det er veldig skremmende, sier Hallvard Nygård til avisen.

Han er it-utvikler i Stavanger og arbeider mye med datasikkerhet. I Æ-appen fant han til sin store overraskelse ikke bare informasjon om seg selv og sine egne handlevaner. Ifølge Nygård var dataene i bakkant av appen fullstendig åpne.

– Jeg fant ut at jeg kunne hente info om alle kundene som hadde tatt appen i bruk. Det gikk rett og slett an å laste ned hele databasen over alle kunder med deler av betalingskortinformasjon og telefonnummeret deres, sier han. Han kunne hente ut kundenes telefonnumre ut fra hvilket kundenummer de hadde hos Rema 1000 eller kjøpsinfo dersom jeg visste telefonnummeret deres, sier han. Blant annet fant han identiteten til kunder som hadde kjøpt graviditetstest.

– Poenget var å utforske tjenestene og se hvilke data som ble gitt ut. Å se på tjenester og hvordan andre finner på å lage det, er interessant for meg i jobben min, sier Nygård. Først varslet han underleverandør, og senere varslet han Rema 1000, som umiddelbart gjorde endringer.

Datatilsynet bekrefter overfor Stavanger Aftenblad at Rema 1000 har varslet dem om sikkerhetsbrudd på appen Æ.

– Ikke sensitive opplysninger

Rema 1000 ser svært alvorlig på hendelsen, men mener kundene ikke har grunn til bekymring.

Kommunikasjonsdirektør Mette Fossum skriver i en epost til Stavanger Aftenblad at de ble gjort oppmerksom på sikkerhetsbruddet av Hallvard Nygård, men at han selv gikk inn og skaffet seg informasjon på ulovlig vis. Sikkerhetsbruddet ble identifisert og stengt umiddelbart og opplysningene som ble hentet ut var i et begrenset omfang. Ifølge Forrum er det ikke riktig at det gjelder samtlige brukere, og opplysningene som lå åpent ute er ikke å anse som sensitive personopplysninger.

I en pressemelding onsdag ettermiddag, utdyper Rema 1000 hva som har skjedd. Her skriver de:

«Opplysningene som ble hentet ut var i et begrenset omfang, det vil si at det gjelder et fåtall brukere og at opplysningene ikke er å anse som sensitive personopplysninger. Informasjonen er begrenset til telefonnummer og handlekvitteringer hos et fåtall kunder. Dataen var kryptert og det kreves spesifikk kunnskap for å kunne hente ut informasjonen og dekryptere denne.

Fullstendig betalingsinformasjon er ikke hentet ut og er sikkerhetsmessig ivaretatt i henhold til internasjonale sikkerhetskrav for betalingsinformasjon (PCI).»

– Vi vil igjen forsikre våre kunder at det ikke er noen grunn til bekymring og at sikkerheten rundt personopplysninger er godt ivaretatt og overvåkes døgnkontinuerlig. Brukerne som er rammet varsles og hendelsen er rutinemessig rapportert til Datatilsynet, sier Mette Fossum i pressemeldingen.

nyheter

Mest lest:

PRODUKTNYTT

CONRADS COLONIAL

Siste artikler - KBS

Siste artikler - Butikk i praksis

Siste artikler - Økologi

Powered by Labrador CMS