LES SVARET FRA REMA 1000 NEDERST I SAKEN

– Det er jo helt sinnssykt! Jeg opplever det som temmelig uforsvarlig at en så stor aktør som Rema 1000 får seg til å lage en app uten noe som helst sikkerhet. Har Rema 1000 hastet prosjektet Æ i land på bekostning av sikkerhet og personvern, synes jeg det er veldig skremmende, sier Hallvard Nygård til Stavanger Aftenblad.

Han er it-utvikler i Stavanger og arbeider mye med datasikkerhet i jobben sin. Etter at Rema 1000 lanserte Æ i januar, lastet han den ned for å undersøke hvordan appen var bygd opp.

Til sin store overraskelse fant han ikke bare informasjon om seg selv og sine egne handlevaner.

– Dataene i bakkant av appen var fullstendig åpne, uten noen form for autentisering. Hvem som helst med en internettforbindelse kunne hente ut hvilken informasjon som helst - helt ned til individuelle kvitteringer for hver eneste handlerunde i alle Rema 1000 sine butikker, sier han.

Les også: Rema øker salget i Midt-Norge

Les også: Kutter ut Hansa-øl

Kunne hente hele kundebasen

– Jeg fant ut at jeg kunne hente info om alle kundene som hadde tatt appen i bruk. Det vil si all info om alle kjøp en kunde gjør, hvilke butikker kunden har handlet hos og på hvilket tidspunkt. Det gikk rett og slett an å laste ned hele databasen over alle kunder med deler av betalingskortinformasjon og telefonnummeret deres, sier han.

I tillegg til handlemønstre er det kanskje også enkelte kjøp du gjerne ikke vil fortelle andre:

– Du vil antagelig holde skjult at du har kjøpt en graviditetstest. Det var blant infoen jeg fant. Jeg fant også ut at jeg kunne hente ut kundenes telefonnumre ut fra hvilket kundenummer de hadde hos Rema 1000 eller kjøpsinfo dersom jeg visste telefonnummeret deres.

– Da har du i prinsippet full overvåkning av alle som har Æ-appen. Dette var det motsatte av hva Rema 1000 skrev om vilkårene i appen. Der sto det at informasjonen var sikret, sier han.

I løpet av den første helgen hadde 250.000 personer lastet ned appen, 10. januar var antallet doblet, ifølge Rema 1000s side på Facebook.

– Jeg hadde ingen mistanke om dette på forhånd, men ville undersøke hvordan appen var bygd opp og fungerte, av ren nysgjerrighet, sier Nygård.

Identitetstyveri

Nygård ønsker at denne saken skal komme ut i offentligheten som et eksempel på hvordan det ikke skal gjøres.

– Å laste ned data var ikke poenget for meg. Poenget var å utforske tjenestene og se hvilke data som ble gitt ut. Å se på tjenester og hvordan andre finner på å lage det, er interessant for meg i jobben min, sier han og legger ikke skjul på at informasjonen han fant svært lett kunne blitt misbrukt i gale hender:

– Jeg satt med kundenes telefonnummer - og dermed navn og adresse, detaljinformasjon om alle handleturer samt deler av kundenes kortnummer med utløpsdato. Det er et godt utgangspunkt for et identitetstyveri.

Nygård varslet først en underleverandør.

– Litt seinere varslet jeg direkte til Rema 1000 ved å sende en epost til Ole Robert Reitan. Over natta satte Rema ett stort team på saken for å gjøre endringer. Jeg ble fortalt at Rema 1000 ikke hadde fått informasjon fra andre om dette. Etterpå ble appen sikret. Dataene som jeg hentet ned har jeg slettet, med unntak av noen eksempler for dokumentasjon, sier Nygård.

Datatilsynet varslet

Datatilsynet bekrefter at Rema 1000 har varslet dem om sikkerhetsbrudd på appen Æ. Ifølge avdelingsdirektør Helge Veum skjedde det 13. og 26. januar.

– Det er ikke unaturlig med et raskt varsel i en akuttsituasjon og deretter oppfølging når akuttsituasjonen er over. Vi skal ha varsel slik at vi er kjent med det og eventuelt kan reagere. Det er uheldig at slike sikkerhetshendelser skjer, sier Veum.

– Jeg kan ikke kommentere vårt synspunkt på appen, men et sikkerhetsbrudd på en løsning med en halv millioner registrerte brukere, har selvfølgelig et potensielt stort omfang, sier han.

Ifølge Veum har Rema 1000 redegjort at de har kontroll på at dataene i appen har blitt misbrukt av andre.

– Vi kommer nå til å se på de to meldingene fra Rema 1000. Vi har ikke gjort noen vurderinger i saken fordi det er for tidlig ennå, sier Veum.

Rema 1000: - Ulovlig

Rema 1000 ser svært alvorlig på hendelsen, men mener kundene ikke har grunn til bekymring.

Dagligvarekjeden Rema 1000 svarer Aftenbladet via epost, men ønsker ikke å bli intervjuet om saken. Her er tilsvaret fra Mette Fossum, kommunikasjonsdirektør i REMA 1000 i sin helhet:

«Vi ble gjort oppmerksom på sikkerhetsbruddet av Hallvard Nygård, som selv gikk inn og skaffet seg informasjon på ulovlig vis. Vi ser svært alvorlig på hendelsen, og sikkerhetsbruddet ble identifisert og stengt umiddelbart. Vi beklager dette, men det er viktig å påpeke at det ikke er grunn til bekymring.

Opplysningene som ble hentet ut var i et begrenset omfang, det vil si at det ikke er riktig at det gjelder samtlige brukere, og dette er ikke å anse som sensitive personopplysninger. Fullstendig kortnumre er ikke lekket, og informasjonen er begrenset til telefonnummer og eventuelle handlekvitteringer hos et fåtall kunder. Vi har rutinemessig rapportert forholdet til Datatilsynet.

Det er for øvrig ikke større mulighet for identitetstyveri ved disse opplysningene enn det er ved å ha nummeret sitt i telefonkatalogen og kaste kvitteringen i butikkens søppelkasse. Slike deler av kortnummer står på alle kvitteringer man får i butikken.

Vi er takknemlig for at Nygård har presentert seg selv for oss som en interessert bruker som ville tipse om sikkerhetshull i Æ. Vi har benyttet anledningen til å gjennomføre ekstra sikkerhetstester og tiltak.

Vi vil igjen forsikre våre kunder at det ikke er noen grunn til bekymring og at sikkerheten rundt personopplysninger er godt ivaretatt og overvåkes døgnkontinuerlig.»

- Dataene i bakkant av appen var fullstendig åpne, uten noen form for autentisering, sier IT-utvikler Hallvard Nygård. Foto: Anders Minge.