Onsdag skrev Stavanger Aftenblad om it-utvikler Hallvard Nygård som oppdaget at kvitteringer, telefonnumre og deler av kortnumre lå i nesten to uker åpent tilgjengelig på Remas nye Æ-app.
Rema reagerte raskt og skrev i en pressemelding at de «ser svært alvorlig på denne hendelsen og sikkerhetsbruddet ble identifisert og stengt umiddelbart.» og at «det ikke er grunn til bekymring».
Dette får Torgeir Waterhouse, direktør for internett og sosiale medier i IKT Norge til å reagere.
– For meg er det bekymringsfullt når Rema sier det ikke er grunn til bekymring når det er snakk om et tilfelle der brukerdata ikke var sikret tilstrekkelig, sier Waterhouse.
– De skriver i pressemeldingen at dataene er krypterte. Men likevel klarte denne varsleren å få tilgang. Det betyr at krypteringen ikke er tilstrekkelig, sier han.
- Les:
– Bekymringsfullt
Han mener Rema burde ha utsatt lanseringen av appen til de var sikre på at sikkerheten til brukerne var ivaretatt.
– Rema var ikke klar over denne sikkerhetsfeilen før Nygård varslet. Det betyr at Rema som er utgiver og systemeier ikke har lagt nok ressurser i å verifisere at sikkerheten i løsningen var på plass.
– Dette er ikke en hvilken som helst app. Dette er en app som markedsfører seg selv på at tjenesten er basert på min og din data. Da må de ta ansvar for å verifisere at løsningen er sikker nok, sier Waterhouse.
- Les:
LITE IMPONERT: Torgeir Waterhouse, direktør for internett og sosiale medier i IKT Norge, reagerer på både sikkerhetstabben og den påfølgende responsen fra Rema 1000.
Foto: Pressebilde / IKT Norge– Rema burde takke varsleren
Waterhouse mener også at det er dumt av selskapet å kritisere varsleren som meldte fra om at brukerinformasjonen lå åpent tilgjengelig i appen.
I pressemeldingen skriver Rema følgende:
«REMA 1000 ble gjort oppmerksom på sikkerhetsbruddet av en varsler som selv gikk inn og skaffet seg informasjon på ulovlig vis.»
– Vanligvis honorerer selskaper de som finner sikkerhetsfeil. Rema burde vært lykkelig for at denne personen skjønte alvoret og varslet. De burde takke ham, ikke klandre ham, sier Waterhouse.
– Her har vi en person som vært nysgjerrig og funnet et alvorlig sikkerhetshull. Han har gjort det rette og varslet selskapet. Rema er mer opptatt av at han har brutt loven, når det er de selv som ikke har lyktes med å følge lovverket i utgangspunktet, sier Waterhouse til NRK.
– Forstår ikke omfanget
Hallvard Nygård, som varslet om sikkerhetsbruddet, synes det er merkelig at Rema 1000 ikke har lagt seg langflate.
– Jeg har hentet ned informasjon for å finne bevis for det som har skjedd. Rema burde da ha lagt seg langflate, ikke skyte tilbake på denne måten. Det er litt rart, men de får styre sin egen kommunikasjon, sier Nygård.
Det er i dag 800 000 kunder som har lastet ned Æ-appen, men Rema 1000 opplyser at det var 500 000 brukere på tidspunktet da Nygård oppdaget sikkerhetshullet.
– Jeg vet ikke om de helt har forstått omfanget i denne saken. All data fra samtlige 500 000 brukere lå i teorien tilgjengelig, ikke bare de som faktisk ble lastet ned i dette tidsrommet, sier Nygård.
– Åpner for identitetstyveri
Nygård mener også at deler av pressemeldingen til Rema 1000 er misvisende.
– De sier også at dataen var kryptert. Men da tror jeg de blander kryptering av kortdata og kryptering av informasjon i appen. All informasjon i den appen lå tilgjengelig, sier Nygård.
Han er dermed heller ikke enig med Rema 1000 i at det ikke er grunn til bekymring.
– Dette er ikke det samme som at noen har skrevet telefonnummeret sitt på en kvittering og kastet den i søpla. Her kunne man laste ned alle brukerne og søke på dem. Det er farlig, fordi det åpnet for målrettet identitetstyver. Da er det grunn til bekymring.
Vil forbedre sikkerhet
Rema 1000 stilte ikke opp til intervju i denne saken, men sender følgende svar i en e-post til NRK:
– Vi har gjennomført sikkerhetstesting og risikovurdering i forkant av lansering. Denne hendelsen viser at dette dessverre ikke var godt nok håndtert. Vi har siden hendelsen gjennomført ytterligere sikkerhetstester med ekstern leverandør for å avdekke andre mulige svakheter, og vil fortsette med kontinuerlig forbedring av sikkerheten i Æ i tiden fremover, skriver kommunikasjonsdirektør i Rema 1000, Mette Fossum.
SVARER: Kommunikasjonsdirektør i Rema 1000, Mette Fossum, bedyrer at de tar sikkerhetsbruddet på største alvor.
Foto: Terje Bendiksby / NTB scanpixFossum presiserer i eposten at hun opplever at dialogen med Nygård har vært konstruktiv.
– Vi er svært takknemlig for at han varslet oss om sikkerhetshullet og hans innspill har vært verdifulle.
Når det gjelder kritikken fra Waterhouse om at Rema 1000 ikke har tatt sikkerhetsbruddet tilstrekkelig på alvor, skriver Fossum følgende.
– Sikkerhet har høyeste prioritet hos REMA 1000 og vi kan forsikre om at vi tar den konkrete hendelsen og personvern svært alvorlig. Informasjonen som har blitt lekket skulle absolutt ikke vært mulig å hente ut og det ser vi svært alvorlig på. Vi har siden lansering hatt døgnovervåkning av sikkerheten i Æ og har full beredskap med ytterligere sikkerhetstestinger og overvåking for å avdekke avvik som forsøk på uautorisert tilgang eller misbruk av Æ og tilhørende systemer.
