Kundedata lå åpent tilgjengelig i Rema 1000s Æ-app. – Jeg kunne lastet ned hele kundebasen

[Civilix]

Det kommer også litt an på hva som er sladda bak kortnummeret. Hvis de har kortnummer og utløpsdato lagret ukryptert, slik det kan se ut som i skjermdumpen, er det ikke en glipp.

 

Kortnummer vises i format 123456XXXXXX1234.

 

Det er stygt med slikt sikkerhetshull, men folk her i tråden tar jo helt av med spekulasjoner.

 

Ingen hadde mulighet til å laste ned hele databasen, man hadde tilgang til de data som ble presentert via api som mobilappen kobler til. Og nei det er ikke all data i databasen som er tilgjengelig via api for mobilappen.

 

Sensitiv data ligger nok kryptert i databasen, hvis du regner dine handlevarer som sensitiv informasjon er det siste du burde gjøre å legge ut dine handlelister på internett, selv om tjenesten ikke er ment å være åpent for alle.

 

Også synes jeg det er litt artig at noen mennesker uten problemer selger sine handlevaner for 10% rabatt, men fortsatt synes handlevanene er som sensitive å regne

[ATWindsor]

Synes tråden er både korrekt og framstiller det riktig, alt som er tilgjengelig via API ligger (dvs lå) åpen for alle å hente ned i sin helhet, om alle brukere. Har folk gitt inntrykk av så veldig mye annet?

 

AtW

[Nobunaga]

Også synes jeg det er litt artig at noen mennesker uten problemer selger sine handlevaner for 10% rabatt, men fortsatt synes handlevanene er som sensitive å regne

 

 

 

Folk forstår ikke rekkevidden av sånne ting, derfor selger de det for 10%. Det er forståelig.

 

At Rema later som at det ikke er sensitiv informasjon er en helt annen ting. Det betyr at Ræma ikke synes det er så nøye med sikkerheten rundt dette. Det er oppsiktsvekkende.

[Nobunaga]

 

Kortnummer vises i format 123456XXXXXX1234.

 

 

Hvor ser du det?

[Civilix]

Hvor ser du det?

 

api.rema.no, krever dog litt kunnskaper

 

Redigert: du kan også se det i appen, selv om du må ta mitt ord på at kortnummer blir sensurert før det sendes til mobilappen din og ikke gjøres av mobilappen selv.

Endret 1. februar 2017 av Civilix

[nomore]

Kan uansett se det på skjermbilde med å måle avstanden og sammenligne med andre tall i samme skjermbilde, voila, 16 tall - samme som ett kortnummer.

[0laf]

For ordens skyld, er det altså snakk om tilgang til enkelte kunders telefonnummer og handlelister, ikke kundekortnummer, disse er delvis obfuskert, og kan ikke umiddelbart "gjettes".

 

Det er heller ingen person- eller betalingsinformasjon tilgjengelig, dog kan man selvfølgelig alltids slå opp i telefonkatalogen når man har telefonnummeret.

 

REMA 1000 har helt rett når de hevder at telefonnummeret til kundene og hva de har handlet ikke er å regne som sensitiv informasjon.

Det er likevel urovekkende at sikkerheten er så dårlig at man enkelt kan hente data om andre kunder fra en slik applikasjon, og ved å slå opp telefonnummer så kan man lenke handlelister til personer, noe som generelt sett ikke akkurat er kritisk, men i svært spesielle tilfeller kan være det.

 

Å hente slike data er selvfølgelig ulovlig, også der har REMA 1000 helt rett.

Det riktige av REMA 1000 etter min mening, ville selvfølgelig være å takket Nygård for hjelpen, fikse problemet, å få saken ut av verden så raskt som mulig.

 

På den andre siden er det ikke slik at sikkerhetsnivået på dataene har noe med hvorvidt det er ulovlig å skaffe seg tilgang til de å gjøre.

Dette burde Nygård vite dersom han jobber med dette.

 

Data kan være helt åpent tilgjengelig på nettet, men dersom det er åpenbart at disse dataene ikke er tiltenkt deg eller allmennheten forøvrig, så vil det i de aller fleste tilfeller være ulovlig å skaffe seg tilgang til dataene, også ved noe så enkelt som å endre på en URL slik at den henter data for andre brukere.

 

Straffeloven er rimelig krystallklar

 

..den som uberettiget skaffer seg adgang til data eller programutrustning som er lagret eller som overføres ved elektroniske eller andre tekniske hjelpemidler... straffes med bøter eller med fengsel inntil 6 måneder eller begge deler

 

Det står ingenting i loven om at dataene må oppnå et visst sikkerhetsnivå før tilgangen er å anse som uberettiget, faktisk er sikkerheten helt irrelevant.

Her burde Nygård forstått at disse kundedataene ikke var tiltenkt ham, og når han fortsatte å snoke i dataene, for å ikke snakke om publiserte skjermbilder, har han helt klart utført et lovbrudd.

Endret 1. februar 2017 av adeneo

[Frode Nilsen]

Ingen hadde mulighet til å laste ned hele databasen, man hadde tilgang til de data som ble presentert via api som mobilappen kobler til.

..hvilket per nå tyder på å være alle brukeres data - ikke bare dine egne. Ved å iterere over aller bruker id'ene kunne man hentet "hele databasen", dvs det som er eksponert ut mot appen. Det er MER enn ille nok!!

 

Sensitiv data ligger nok kryptert i databasen, hvis du regner dine handlevarer som sensitiv informasjon er det siste du burde gjøre å legge ut dine handlelister på internett, selv om tjenesten ikke er ment å være åpent for alle.

For det første så må vi være enige om hva "sensitive data" er. Datatilsynet har definert både "pseronopplysninger" og "sensitive personopplysninger" tydelig. Jeg vet ikke hva du legger i begrepet, men appen behandler definitivt personopplysninger. Telefonnummer og adferdsmønstre er persondata, og dette har blitt lekket ut. Det skal ikke skje, og hadde det vært gjort med hensikt så hadde det vært brudd på personopplysningsloven.

 

Handlelister kan indirekte si noe om helsa di også, som fort kan defineres som "sensitiv personopplysninger". Siden dette også har lekket ut så tar du feil i påstanden din om at "det nok ligger kryptert i databasen", eller for å si det sånn: Det dekrypteres ihvertfall før det sendes til sluttbruker. 

 

tl;dr: Rema 1000 har gjort en grov bommert her. Det eneste som taler til deres fordel er at dem angivelig har tettet hullet kjapt.

Endret 1. februar 2017 av Nilzor79

[Kikert]

Også synes jeg det er litt artig at noen mennesker uten problemer selger sine handlevaner for 10% rabatt, men fortsatt synes handlevanene er som sensitive å regne

 

Folk forstår ikke rekkevidden av sånne ting, derfor selger de det for 10%. Det er forståelig.

 

Opplys oss da

 

Jeg har ikke lest brukervilkårene da jeg ikke bruker programmet.

[Jan Olsen]

Rema har sperret for nedlasting av apk om man har SIM-kort fra utlandet, men finnes kanskje i andre app-butikker. Irriterende og virker unødvendig.

[likferd]

Straffeloven er rimelig krystallklar

 

..den som uberettiget skaffer seg adgang til data eller programutrustning som er lagret eller som overføres ved elektroniske eller andre tekniske hjelpemidler... straffes med bøter eller med fengsel inntil 6 måneder eller begge deler

 

Det står ingenting i loven om at dataene må oppnå et visst sikkerhetsnivå før tilgangen er å anse som uberettiget, faktisk er sikkerheten helt irrelevant.

Her burde Nygård forstått at disse kundedataene ikke var tiltenkt ham, og når han fortsatte å snoke i dataene, for å ikke snakke om publiserte skjermbilder, har han helt klart utført et lovbrudd.

 

Om man kan beskrive straffeloven som noe, så er det alt annet enn krystallklart. Norske lover er ekstremt vide og omfattene, og blir begrenset av rettspraksis. Ingen domstol i Norge, eller verden for den saks skyld, dømmer noen for å oppdage en fullstendig åpen og grov sikkerhetsfeil i software, for så rapportere denne. Om noen har et rettslig problem, er det Rema for å ikke sikre kundedata. Samt et omdømmeproblem for å angripe de som gjør jobben deres for de.

Endret 1. februar 2017 av likferd

[0laf]

Ingen domstol i Norge, eller verden for den saks skyld, dømmer noen for å oppdage en fullstendig åpen og grov sikkerhetsfeil i software, for så rapportere denne. Om noen har et rettslig problem, er det Rema for å ikke sikre kundedata. Samt et omdømmeproblem for å angripe de som gjør jobben deres for de.

 

Det er altså snakk om en URL som er gjemt i en applikasjon. Først må man kontrollere trafikken for å finne URL'en, deretter må man prøve seg frem med forskjellige bruker-ID for å finne ut at det ikke finnes god nok sikkerhet.

 

Underveis burde man vite at denne lenken ikke var tiltenkt for denne bruken, ei heller at man burde forsøke å hente andres brukerdata.

 

Igjen, hvorvidt data ligger helt åpent er irrelevant, det relevante er hvorvidt du burde forstått at dataene ikke var tiltenkt deg.

 

Dette med å endre litt på en URL for å få tilgang til data man normalt ikke skal ha tilgang til, er jo det eldste trikset i boka, i en litt annen form kalles det blant annet for SQL-injection, og det er også grunnlaget for alle typer request forgery hvor man endrer GET og POST forespørsler, noe en person som jobber med datasikkerhet burde være klar over.

Endret 1. februar 2017 av adeneo

[_dundun_]

Nettopp derfor er det så uendelig inkompetent av Rema og Shortcut å gjøre en av de mest amatørmessige feilene i boka. Å skyte på budbringer er bare tull

[0laf]

Så å si alle større IT-selskaper har på et eller annet tidspunkt gjort denne feilen.

Man lager en app som henter data fra en API, database eller på annet vis.

Sikrer dette med TLS slik at andre ikke får tilgang til dataene som går over nettverket osv.

Så glemmer man den gamle læresetningen om at man aldri kan stole på egne brukere.

 

Plutselig har en bruker av appen funnet ut hvilke api-kall som gjøres, og endret de for å få tilgang til data vedkommende ikke skulle hatt tilgang til.

Burde de sikret dette også ved å kontrollere at brukeren kun får tilgang til egne data, helt klart.

Er det å anse som et "data-inbrudd", helt klart.

 

Dersom jeg tilfeldigvis endrer en lenke til diskusjon dott no til noe slikt som 

https://www.diskusjon.no/index.php?showuser=21498 or 1=1

og dette tilfeldigvis funker, og jeg plutselig får tilgang til alle dataene om denne brukeren, så har jeg jo "hacket" dette forumet.

Det er ikke noe forsvar at det var svært enkelt å utføre angrepet, det er fremdeles ulovlig.

[_dundun_]

Herregud, nei. Dette er ikke et hendelig uhell. Det første man tenker på når man lager et API er å anse enhver klient som en fiende og å segregere tilgang til data basert på innlogging.

[quantum]

 

 

Håper virkelig ikke kredittkort nummer blir delt til offentligheten med bank ID det ville vært skandale.Særlig om den informasjonen blir misbrukt.

 

Joda, både fullstendige kortnummer, bankID og nøkkel til bolig kunne lastes ned. Til og med kone og barn kunne lastes ned.

 

Har du lest:

https://www.ntbinfo.no/pressemelding/uautorisert-utlevering-av-telefonnummer-og-handlekvitteringer-registert-i-ae?publisherId=7512272&releaseId=14110491

 

 

 

REMA 1000 ble gjort oppmerksom på sikkerhetsbruddet av en varsler som selv gikk inn og skaffet seg informasjon på ulovlig vis. 

-Vi ser svært alvorlig på denne hendelsen og sikkerhetsbruddet ble identifisert og stengt umiddelbart. Vi beklager dette ovenfor brukerne av Æ, men det er viktig å påpeke at det ikke er grunn til bekymring, sier Mette Fossum, kommunikasjonsdirektør i REMA 1000. 

Opplysningene som ble hentet ut var i et begrenset omfang, det vil si at det gjelder et fåtall brukere og at opplysningene ikke er å anse som sensitive personopplysninger. Informasjonen er begrenset til telefonnummer og handlekvitteringer hos et fåtall kunder. Dataen var kryptert og det kreves spesifikk kunnskap for å kunne hente ut informasjonen og dekryptere denne.

Fullstendig betalingsinformasjon er ikke hentet ut og er sikkerhetsmessig ivaretatt i henhold til internasjonale sikkerhetskrav for betalingsinformasjon (PCI). 

-Vi vil igjen forsikre våre kunder at det ikke er noen grunn til bekymring og at sikkerheten rundt personopplysninger er godt ivaretatt og overvåkes døgnkontinuerlig. Brukerne som er rammet varsles og hendelsen er rutinemessig rapportert til Datatilsynet, avslutter Fossum.

Så basert på denne vil jeg ikke si det er rema 1000 sin feil, men hackere som har klart å gi seg tilgang, det er egentlig ulovlig.

Ikke snakk om dårlig kryptering eller sikkerhet, så vil heller si det var den personen sin feil en rema 1000.

Viktig å lese kilder. For tek.no fremstår som useriøst når de gir rema 1000 alene skyld i dette.

det er ikke ulovlig å laste ned data som ligger åpne uten noen form for sikkerhetsmekanismer. kryptering er nevnt, men også digi.no er nå kryptert uten at det er blitt ulovlig å lese av den grunn. remas påstand er at det har skjedd et lovbrudd og der er da detes problem å forklare hvilke lov de sikter til og hvordan den er brutt.

[_dundun_]

Loven er uansett ikke nødvendigvis noen fasit for hva som er rett og for hvem som har gjort noe galt.

[bmork]

Det første man tenker på når man lager et API er å anse enhver klient som en fiende og å segregere tilgang til data basert på innlogging.

Ønsketenkning. Det første man tenker på er pengene man skal tjene på appen.  Det neste man tenker på er hvordan man skal flytte skylda over på den som avslører blemmene.  Det gjenstår ennå å se hva det siste man tenker er, men det kan ikke være så lenge igjen til vi får vite det.

[quantum]

 

Sensitiv data ligger nok kryptert i databasen, hvis du regner dine handlevarer som sensitiv informasjon er det siste du burde gjøre å legge ut dine handlelister på internett, selv om tjenesten ikke er ment å være åpent for alle.

 

 

Ja, det er sikkert noen som syns det er flaut å bli knepet med Piffi Allkrydda istedenfor åtte potter med Timian, Rosmarin&co. Men for å legge synsingen bak oss og se på det vi vet; kortnummere er lett omsettelig, og det er det selvfølgelig en grunn til. Derfor bør ikke ETT ENESTE ETT være tilgjengelig for uvedkommende. 

[quantum]

Loven er uansett ikke nødvendigvis noen fasit for hva som er rett og for hvem som har gjort noe galt.

Du skulle vært finansrådigver i en større bank ...