Æ kan ha utlevert handlevanene dine

Æ: Bildet fra da Rema avduket Kundeprogrammet «Æ» 4. januar. Foto: Vidar Ruud / NTB scanpix

Æ: Bildet fra da Rema avduket Kundeprogrammet «Æ» 4. januar. Foto: Vidar Ruud / NTB scanpix Foto:

Artikkelen er over 3 år gammel

Dataene fra brukere av Rema 1000-appen, Æ, skal ha vært åpne for Hvermansen.

DEL

– REMA 1000 ble gjort oppmerksom på sikkerhetsbruddet av en varsler som selv gikk inn og skaffet seg informasjon på ulovlig vis. Vi ser svært alvorlig på denne hendelsen og sikkerhetsbruddet ble identifisert og stengt umiddelbart, står det i en pressemelding fra Rema 1000 onsdag.

LES OGSÅ: Edelh: Jeg skjønner ikke hvordan Rema kan gjøre dette. De slår beina under næringslivet her oppe

Stavanger Aftenblad har intervjuet mannen som oppdaget feilen; en it-utvikler fra Stavanger som var nysgjerrig på appens oppbygging.

– Dataene i bakkant av appen var fullstendig åpne, uten noen form for autentisering. Hvem som helst med en internettforbindelse kunne hente ut hvilken informasjon som helst - helt ned til individuelle kvitteringer for hver eneste handlerunde i alle Rema 1000 sine butikker, forklarer Hallvard Nygård til Stavanger Aftenblad.

– Gjelder et fåtall

I pressemeldingen fra Rema 1000 beklager kommunikasjonsdirektør Mette Fossum. Hun påpeker at det ikke er grunn til bekymring.

– Opplysningene som ble hentet ut var i et begrenset omfang, det vil si at det gjelder et fåtall brukere og at opplysningene ikke er å anse som sensitive personopplysninger. Informasjonen er begrenset til telefonnummer og handlekvitteringer hos et fåtall kunder. Dataen var kryptert og det kreves spesifikk kunnskap for å kunne hente ut informasjonen og dekryptere denne, sier Fossum.

En halv million brukere

I løpet av den første helgen etter lansering 4. januar hadde 250.000 personer lastet ned appen. 10. januar var antallet doblet, ifølge Rema 1000s Facenook-side.

LES OGSÅ: Dette har Rema 1000 søkt om å bruke «Æ» til

Ifølge Rema 1000 skal sikkerheten rundt personopplysninger være ivaretatt. Fullstendig betalingsinformasjon skal ikke ha blitt hentet ut og er sikkerhetsmessig ivaretatt i henhold til internasjonale sikkerhetskrav for betalingsinformasjon.

– Brukerne som er rammet varsles og hendelsen er rutinemessig rapportert til Datatilsynet, avslutter Fossum.

Artikkeltags