Onsdag skrev Aftenbladet om it-utvikler Hallvard Nygård som oppdaget at kvitteringer, telefonnumre og deler av kortnumre lå i nesten to uker åpent tilgjengelig på Rema 1000s nye Æ-app.

Etter at Aftenbladet tok kontakt med Rema 1000 skrev de en pressemelding der det het at «ser svært alvorlig på denne hendelsen og sikkerhetsbruddet ble identifisert og stengt umiddelbart.» og at «det ikke er grunn til bekymring».

Dette får Torgeir Waterhouse, direktør for internett og sosiale medier i IKT Norge til å reagere, skriver NRK.

– For meg er det bekymringsverdig når Rema sier det ikke er grunn til bekymring når det er snakk om et tilfelle der brukerdata ikke var sikret tilstrekkelig, sier Waterhouse.

– De skriver i pressemeldingen at dataene er krypterte. Men likevel klarte denne varsleren å få tilgang. Det betyr at krypteringen ikke er tilstrekkelig, sier han.

– Bekymringsverdig

Han mener Rema burde ha utsatt lanseringen av appen til de var sikre på at sikkerheten til brukerne var ivaretatt.

– Rema var ikke klar over denne sikkerhetsfeilen før Nygård varslet. Det betyr at Rema som er utgiver og systemeier ikke har lagt nok ressurser i å verifisere at sikkerheten i løsningen var på plass.

Anders Minge

– Dette er ikke en hvilken som helst app. Dette er en app som markedsfører seg selv på at tjenesten er basert på min og din data. Da må de ta ansvar for å verifisere at løsningen er sikker nok, sier Waterhouse videre til NRK.

– Rema burde takke varsleren

Waterhouse mener også at det er dumt av selskapet å kritisere varsleren som meldte fra om at brukerinformasjonen lå åpent tilgjengelig i appen.

I pressemeldingen skriver Rema følgende:

«REMA 1000 ble gjort oppmerksom på sikkerhetsbruddet av en varsler som selv gikk inn og skaffet seg informasjon på ulovlig vis.»

– Vanligvis honorerer selskaper de som finner sikkerhetsfeil. Rema burde vært lykkelig for at denne personen skjønte alvoret og varslet. De burde takke ham, ikke klandre ham, sier Waterhouse.

– Her har vi en person som vært nysgjerrig og funnet et alvorlig sikkerhetshull. Han har gjort det rette og varslet selskapet. Rema er mer opptatt av at han har brutt loven, når det er de selv som ikke har lyktes med å følge lovverket i utgangspunktet, sier Waterhouse til NRK.

– Dette er ikke det samme som at noen har skrevet telefonnummeret sitt på en kvittering og kastet den i søpla. Her kunne man laste ned alle brukerne og søke på dem. Det er farlig, fordi det åpnet for målrettet identitetstyver. Da er det grunn til bekymring.

Vil forbedre sikkerhet

Rema 1000 stilte ikke opp til intervju i denne saken, men sender følgende svar i en e-post til NRK:

– Vi har gjennomført sikkerhetstesting og risikovurdering i forkant av lansering. Denne hendelsen viser at dette dessverre ikke var godt nok håndtert. Vi har siden hendelsen gjennomført ytterligere sikkerhetstester med ekstern leverandør for å avdekke andre mulige svakheter, og vil fortsette med kontinuerlig forbedring av sikkerheten i Æ i tiden fremover, skriver kommunikasjonsdirektør i Rema 1000, Mette Fossum.