Informasjon om kunders handlevaner og deler av kundenes kortnummere lå åpent tilgjengelig i nesten to uker i Remas nye app, Æ, skriver Stavanger Aftenblad (krever abonnement).
Det var IT-utvikleren Hallvard Nygård i Stavanger som oppdaget svakheten, etter at han lastet ned appen for å se hvordan den var bygget opp. Han ble svært overrasket da han ikke bare fant informasjon om seg selv, men også om andre kunder.
– Dataene i bakkant av appen var fullstendig åpne, uten noen form for autentisering. Hvem som helst med en internettforbindelse kunne hente ut hvilken informasjon som helst – helt ned til individuelle kvitteringer for hver eneste handlerunde i alle Rema 1000 sine butikker, sier han til Stavanger Aftenblad.
Torgeir Waterhouse i bransjeforeningen IKT-Norge er sterkt kritisk:
Kaller Rema 1000s tilnærming i Æ-app-saken for «ganske grotesk»
Etter at Rema 1000 lanserte appen Æ tidligere i januar, har den blitt lastet ned mer enn 800 000 ganger, ifølge Remas egne opplysninger.
Kunne laste ned hele databasen
Nygård hevder overfor Stavanger Aftenblad at han fant ut at han kunne hente ut informasjon om alle kundene som hadde tatt appen i bruk.
I tillegg til å se all informasjon om hva kundene hadde kjøpt, hvilke butikker kundene hadde handlet i og hvilket tidspunkt, var også deler av betalingskortinformasjon og hele telefonnummeret til kundene tilgjengelig.
– Det gikk rett og slett an å laste ned hele databasen, sier han, og legger til at det kanskje ikke er alle kjøp du ønsker å fortelle andre om.
Som eksempel nevner han at han fikk ut informasjon om noen som hadde kjøpt en graviditetstest, og at det også var mulig å hente ut telefonnummer basert på hvilket kundenummer de hadde hos Rema 1000 – eller kjøpsinformasjon dersom telefonnummeret til kunden er kjent.
– Da har du i prinsippet full overvåkning av alle som har Æ-appen.
Rema hevder sikkerhetsbruddet hadde et begrenset omfang
I en pressemelding fra Rema 1000 nå ettermiddag skriver butikkjeden at varsleren gikk inn og hentet informasjon på ulovlig vis.
– Vi ser svært alvorlig på denne hendelsen og sikkerhetsbruddet ble identifisert og stengt umiddelbart. Vi beklager dette ovenfor brukerne av Æ, men det er viktig å påpeke at det ikke er grunn til bekymring, sier Mette Fossum, kommunikasjonsdirektør i Rema 1000.
Ifølge Fossum skal det ikke ha vært mulig å hente ut informasjon om alle kunder, slik Nygård hevder. Det skal kun ha vært mulig å hente ut opplysninger om et begrenset antall brukere, og opplysningene er heller ikke å anse som sensitive personopplysninger, mener Rema. Selskapet legger også til at informasjonen er begrenset til telefonnummer og handlekvitteringer til et fåtall kunder, og at dataene er kryptert – og at det krever spesifikk kunnskap for å kunne hente ut informasjonen og dekryptere disse.
– Vi vil igjen forsikre våre kunder at det ikke er noen grunn til bekymring og at sikkerheten rundt personopplysninger er godt ivaretatt og overvåkes døgnkontinuerlig. Brukerne som er rammet varsles og hendelsen er rutinemessig rapportert til Datatilsynet, avslutter Fossum.
Sendte ut SMS til 3400 berørte kunder
Rema 1000 har nå sendt ut SMS-er til kunder som er berørt av datalekkasjen.
En leser skriver i en epost til digi.no at han kort tid etter å ha lest om sikkerhetshullet, fikk en SMS fra Rema 1000 der det står at 3400 telefonnummere og handlekvitteringer i Æ har blitt hentet ut på ulovlig vis.
«Vi varsler deg om dette da ditt telefonnummer er blant de som er rammet, men vi forsikrer om at fullstendig betalingsinformasjon er sikkerhetsmessig ivaretatt i henhold til internasjonale sikkerhetskrav for betalingsinformasjon», skriver Rema 1000 i SMS-en.
Torgeir Waterhouse i bransjeforeningen IKT-Norge er sterkt kritisk:
Kaller Rema 1000s tilnærming i Æ-app-saken for «ganske grotesk»