Kundenes kvitteringer lå åpent i Remas Æ-app

Kvitteringer, telefonnumre og deler av kortnumre lå i nesten to uker åpent tilgjengelig på Remas nye Æ-app.

– Dataene i bakkant av appen var fullstendig åpne, uten noen form for autentisering. Hvem som helst med en internettforbindelse kunne hente ut hvilken informasjon som helst - helt ned til individuelle kvitteringer for hver eneste handlerunde i alle Rema 1000 sine butikker, sier Hallvard Nygård til Stavanger Aftenblad .Det var Nygård som oppdaget sikkerhetsglippen etter at han lastet den ned for å undersøke hvordan appen var bygd opp. Datatilsynet bekrefter sikkerhetsbruddet - og opplyser at dette skjedde mellom 13. og 26. januar.- Du vil antakelig holde skjult at du har kjøpt en graviditetstest. Det var blant infoen jeg fant. Jeg fant også ut at jeg kunne hente ut kundenes telefonnumre ut fra hvilket kundenummer de hadde hos Rema 1000 eller kjøpsinfo dersom jeg visste telefonnummeret deres, sier Nygård.Ifølge Rema har over 800.000 nordmenn lastet ned appen. I en pressemelding skriver Rema at de ser alvorlig på hendelsen.- Vi beklager dette overfor brukerne av Æ, men det er viktig å påpeke at det ikke er grunn til bekymring, sier Mette Fossum, kommunikasjonsdirektør i REMA 1000. De skriver at opplysningene som ble hentet ut var i et begrenset omfang, det vil si at det gjelder et fåtall brukere og at opplysningene ikke er å anse som sensitive personopplysninger. "Dataen var kryptert og det kreves spesifikk kunnskap for å kunne hente ut informasjonen og dekryptere denne", skriver Rema.