Kundedata fra Rema 1000s nye app “Æ” lå åpent tilgjengelig i 2 uker

En It-utvikler fra Stavanger lastet ned Æ-appen for å undersøke hvordan den var bygget opp. Han oppdaget at det var mulig å få tilgang til databasen bak appen, med informasjon om hva kunder hadde handlet, telefonnummer og deler av kortnummer.

“Dataene i bakkant av appen var fullstendig åpne, uten noen form for autentisering. Hvem som helst med en internettforbindelse kunne hente ut hvilken informasjon som helst – helt ned til individuelle kvitteringer for hver eneste handlerunde i alle Rema 1000 sine butikker”, sier Hallvard Nygård til Stavanger Aftenblad. “Jeg fant ut at jeg kunne hente info om alle kundene som hadde tatt appen i bruk. Det vil si all info om alle kjøp en kunde gjør, hvilke butikker kunden har handlet hos og på hvilket tidspunkt. Det gikk rett og slett an å laste ned hele databasen over alle kunder med deler av betalingskortinformasjon og telefonnummeret deres”.

Nygård tok kontakt med Rema 1000 som iverksatte tiltak umiddelbart. De stengte sikkerhetshullet og rapporterte rutinemessig hendelsen til Datatilsynet. Det er i følge Rema 1000 ikke vært andre lekkasjer av data enn de som ble lastet ned av Hallvard Nygård.

Vi anbefaler:

Utviklere av apper og annen programmvare bør jobbe etter prinsippene for innebygd sikkerhet og personvern. Kundene har tillit til leverandørene og stoler på at deres interesser blir ivaretatt. Da er det viktig å ha sikkerheten på plass fra begynnelsen. Det er kostbart å rette opp feilene i etterkant.

Man bør ikke ha flere apper på telefonen enn de man bruker. Før du laster ned en app er det lurt å lese vilkårene. Hvem blir informasjonen du gir fra deg delt med? Hvis du ikke er komfortabel med vilkårene la være å laste ned appen. Når du laster ned en applikasjon så får du informasjon om hvilke ressurser appen vil ha tilgang til. Hvis man for eksempel laster ned et spill, så må man spørre seg selv: Vil jeg virkelig at denne appen skal ha tilgang til kontaktlisten min, ringehistorikken min, plasseringen min osv? 

Nettvett: Ti tips for sikrere mobilbruk

Nettvett: Ti tips for sikrere bruk av PC

Nettvett: Forebygge identitetstyveri

Kilder:

Aftenposten,  http://www.aftenposten.no/norge/Kundenes-handlelister-la-apne-i-Rema-1000s-A-app-614248b.html

Stavanger Aftenblad: http://www.aftenbladet.no/innenriks/Kundeinfo-la-apent-i-Rema-1000s-A-app-538099b.html

 

Publisert: 1. februar 2017

Informasjon fra NorSIS er hentet fra flere kilder. NorSIS vurderer informasjon før publisering, men NorSIS kan ikke holdes ansvarlig for skade eller tap som kan oppstå som følge av ukorrekt, manglende eller utilstrekkelig informasjon.