Saken er oppdatert med kommentarer fra Rema 1000.
Gårsdagens sak om at kundedataene knyttet til Rema 1000s Æ-app lå åpent ute, har vekket mange reaksjoner, blant annet blant digi.no-lesere og i IT-bransjen for øvrig. Det var IT-utvikleren Hallvard Nygård som oppdaget dette og deretter varslet Rema 1000. Butikkjeden fjernet sikkerhetshullet før Nygård offentliggjorde oppdagelsen sin i går.
Men Torgeir Waterhouse, direktør for internett og nye medier i IKT Norge, sier til digi.no at det egentlig ikke dreier seg om en veldig spesiell sak.
Bekymringsfullt
– Det mest spesielle med saken er at noen har oppdaget det. Men det som bekymrer meg er at saken i seg selv er nok bare toppen av isfjellet. Vi opplever rundt saker som dette at det er altfor liten vilje – noe som muligens henger sammen med forståelse og kunnskap – til å bruke den tiden og de ressursene som er nødvendig for å verifisere sikkerheten, sier Waterhouse.
– I denne saken, i tillegg til at det har skjedd, så gjør de klassiske «den som har oppdaget det har skylda»-tilnærmingen, som er ganske grotesk. De har også hevdet at dataene var kryptert, noe som er beviselig feil. Hadde de faktisk vært kryptert, så hadde det ikke vært noen krise på samme måte at noen fikk tilgang de lagrede dataene. Da hadde det vært en helt type annen sak, uten at det hadde vært greit like vel.
– De har nok blandet dette med fulle kortnummer, som er kryptert. Eneste som var kryptert når det gjaldt appen, var transporten over HTTPS. Det er det samme som for eksempel Facebook gjør, men du får fortsatt Facebook opp i nettleseren din. Dataene som kommer ut er fullt lesbare, forteller Nygård til digi.no.
Tillit
Waterhouse mener det er spesielt problematisk at dette dreier seg om en tjeneste hvor selve appen bare utgjør framsiden mot brukeren, som i sin helhet er basert på kundenes bruksdata, og hvor formålet til Rema 1000 er å tjene penger på disse dataene direkte.
– Appen er basert på en tillitsbasert avtale med oss som brukere, hvor de ikke har gjort sin del av jobben, mener Waterhouse.
I pressemeldingen Rema 1000 kom med i går, hevdes det at det ikke er noen grunn til bekymring for kundene. Men Waterhouse viser til det Nygård har opplyst om at han har funnet opplysninger om kjøp av graviditetstester i det begrensede datautvalget han har studert.
– Det er nok ikke noen krise for noen dersom verden finner ut at de har kjøpt melk og brød. Men de er ikke gitt at det er like greit at verden finner ut at de har kjøpt graviditetstest, når du er enig med partneren din om at dere ikke skal få barn sammen eller hevder at du ikke kan få barn, sier Waterhouse.
Mangel på forståelse
Han mener at både saken i seg selv og Rema 1000s reaksjon i etterkant, viser en mangel på forståelse for saken egentlig handler om.
– Når det er sagt, er det veldig bra at de agerte kjapt og fikk løst problemet, sier Waterhouse.
– Det som er utrolig viktig her, enten det gjelder Rema eller andre – det er systemeieren, eieren av tjenesten, som har ansvaret for dette, sier Waterhouse.
Han mener det er viktig at Rema 1000 nå gjør en gjennomgang slik at de finner ut hva som faktisk har skjedd og hvorfor det har gått galt.
– Men den overordnede begrunnelsen for hvorfor det har gått galt, er at Rema 1000 ikke har gjort jobben sin, mener Waterhouse.
Ressursbruken
Han mener at det er et betydelig problem i mange prosjekter at man ikke har vilje og forståelse til å bruke det som skal til av tid og penger for å komme i mål og verifisere at løsningen er godt nok sikret.
– I denne saken er dette spesielt interessant med tanke på hvor mye tid og ressurser Rema 1000 har brukt på å markedsføre bokstaven Æ. De har vært opptatt av oppblåste Æ-er og å endre skiltene i butikkene. Men de har tydeligvis ikke vært opptatt av sikkerheten til løsningen, avslutter Waterhouse.
«Litt rar reaksjon»
Digi.no spør Nygård om hva han mener om den offentlige reaksjonen fra Rema 1000.
– Jeg syns reaksjonen virker litt rar, de svarer på noe som det egentlig ikke var snakk om, altså kortnummer, når de nevner PCI [internasjonale sikkerhetskrav for betalingsinformasjon, journ. anm.] og betalingsinformasjon. Fullt kortnummer var ikke tilgjengelig siden det mangler seks sifre. Men selv uten disse seks sifrene kunne informasjon blitt brukt til identitetstyveri. For eksempel ved at angriperen spør etter nytt passord på andre tjenester, forteller Nygård.
I pressemeldingen til Rema 1000 påpekes det at Nygård selv gikk inn og skaffet seg informasjon på ulovlig vis. Men Nygård stiller seg avvisende til dette.
– De har fått beskjed om feilen og fått tid til å rette den. At de ikke har laget noe sikkerhetslag på dataene sine, er ikke min feil, sier han.
Rema 1000 skrev i går også at det måtte spesifikk kunnskap til for å hente ut informasjonen. Men Nygård avviser at det var spesielt vanskelig å få til.
– Med dagens verktøy er det er veldig lett å se på trafikk mellom en app og server. Det er noe som ikke alltid blir tatt på alvor i forbindelse med utvikling av apper. Når man først ser på trafikken, er det trivielt å se denne åpenbare mangelen. Jeg tror det mye grums ute blant apper på dette området, ikke bare i Æ-appen, avslutter han.
Twitter-bildene i saken er publisert av Nygård. Han har også godkjent at de er gjengitt i denne saken.
Rema 1000 svarer
Kaia Andresen, kommunikasjonsrådgiver i Rema 1000, har sendt digi.no en epost med kommentarer og svar etter at saken ble publisert.
Digi.no spurte om Rema 1000 kan garantere at ingen andre har oppdaget det samme som Nygård og utnyttet dette før sikkerhetshullet ble fjernet.
– Rema 1000 har gjennomgått historiske logger fra lanseringsdato av Æ, samt overvåking av systemene for å identifisere hvem som har utnyttet sikkerhetshullet hvor personopplysninger kunne hentes ut. Vi har ikke identifisert andre aktører i denne sammenheng. Vi er dermed trygg på at det ikke er andre som har utnyttet denne sårbarheten, skriver Andresen.
– Vi forstår det at enkelte vil føle det som ubehagelig hvis andre får informasjon om at de har kjøpt visse produkter. Det beklager vi, men gjentar at det ikke var en direkte kobling til navn i denne informasjonen.
På spørsmål om Rema 1000 mener at selskapet har oppfylt sin del av den tillitsbaserte avtalen som Waterhouse nevner, svarer Andresen:
– Vi har hatt et sikkerhetshull i Æ. Det beklager vi, og har utbedret dette. Vi har ytterligere innskjerpet sikkerheten for fremtiden, og vi mener at det ikke er grunn for kunden å føle seg utrygg.
Om krypteringen skrive Andresen:
– All data er kryptert under transport (https). Ut over dette kan vi ikke kommentere detaljer, men ønsker å presisere at det kreves spesifikk kunnskap for å utnytte sårbarheten, som nå er utbedret.
Om Waterhouse's uttalelse om at Rema 1000 har gjort den klassiske «den som har oppdaget det har skylda»-tilnærmingen, svarer Andresen:
– Vi opplever at vi har hatt en konstruktiv dialog med Hallvard Nygård. Vi er svært takknemlig for at han varslet oss om sikkerhetshullet og hans innspill har vært verdifulle.
– Sikkerhet har høyeste prioritet hos REMA 1000 og vi kan forsikre om at vi tar den konkrete hendelsen og personvern svært alvorlig. Informasjonen som har blitt lekket skulle absolutt ikke vært mulig å hente ut, og det ser vi svært alvorlig på. Vi har siden lansering hatt døgnovervåkning av sikkerheten i Æ og har full beredskap med ytterligere sikkerhetstestinger og overvåking for å avdekke avvik som forsøk på uautorisert tilgang eller misbruk av Æ og tilhørende systemer. Vi kan også legge til at det er sendt en avviksmelding til Datatilsynet og at alle brukere som er berørt er varslet.