Gå til innhold
🎄🎅❄️God Jul og Godt Nyttår fra alle oss i Diskusjon.no ×

Kundedata lå åpent tilgjengelig i Rema 1000s Æ-app. – Jeg kunne lastet ned hele kundebasen


Anbefalte innlegg

 

Det er ikke noe forsvar at det var svært enkelt å utføre angrepet, det er fremdeles ulovlig.

 

Og da sikter du til akkurat hvilken paragraf i hvilken lov, og har henvisning til rettspraksis? Eller bare synser du?

 

Og - ikke minst - hvilken relevans har dette overhodet? 

 

Spørsmålet er ikke om denne ene personen har gjort noe ulovlig ved å finne hullet og advare om det, men om hvor mange andre som allerede har funnet hullet og lastet ned bøttevis med kortnummere uten at Rema vet noe om det? 

Lenke til kommentar
Videoannonse
Annonse

I en pressemelding fra Rema 1000 nå ettermiddag skriver butikkjeden at varsleren gikk inn og hentet informasjon på ulovlig vis.

– Vi ser svært alvorlig på denne hendelsen og sikkerhetsbruddet ble identifisert og stengt umiddelbart. Vi beklager dette ovenfor brukerne av Æ, men det er viktig å påpeke at det ikke er grunn til bekymring, sier Mette Fossum, kommunikasjonsdirektør i Rema 1000.

Kyss meg i ræva Rema1000.

 

Det som burde være ulovlig er å blottlegge identifikasjon og "big brother" på denne måten. La heller være å lage en app om dere ikke makter å håndtere dette bedre.

Endret av G
  • Liker 5
Lenke til kommentar

 

Og da sikter du til akkurat hvilken paragraf i hvilken lov, og har henvisning til rettspraksis? Eller bare synser du?

 

Og - ikke minst - hvilken relevans har dette overhodet? 

 

Spørsmålet er ikke om denne ene personen har gjort noe ulovlig ved å finne hullet og advare om det, men om hvor mange andre som allerede har funnet hullet og lastet ned bøttevis med kortnummere uten at Rema vet noe om det? 

 

 

Dersom du leser denne tråden, så finner du svarene på alt du spør om, men jeg skal hjelpe deg ettersom du ser ut til å konsekvent ha en manglende evne til å få med deg det andre skriver, også selve artikkelen tråden omhandler.

 

1. Straffelovens §145

2. Det er relevant fordi det står i artikkelen vi kommenterer at REMA 1000 hevder dataene er hentet ulovlig.

3. Det finnes ingen kortnumre tilgjengelige, noe du ville sett dersom du, igjen, leste det du svarer på. 

Lenke til kommentar

Og da sikter du til akkurat hvilken paragraf i hvilken lov, og har henvisning til rettspraksis? Eller bare synser du?

 

Og - ikke minst - hvilken relevans har dette overhodet? 

 

Spørsmålet er ikke om denne ene personen har gjort noe ulovlig ved å finne hullet og advare om det, men om hvor mange andre som allerede har funnet hullet og lastet ned bøttevis med kortnummere uten at Rema vet noe om det?

Igjen: Kortnummere er ikke lekket.

 

Til de som sier at dette ikke er sensitiv informasjon: Selvfølgelig er det det. Det er snakk om hvor du handler, hvor ofte, når og ikke minst hva. Det er store mengder informasjon, knyttet til identitet (mobilnummer) som kan avsløre vannvittig mye om folk. Uavhengig om det er definert som "sensitive personopplysninger" i personopplysningsloven, som sier noe om straffenivå for å glemme å implementere sikkerhetsmekanismer for å beskytte den, er det nettopp det det er. Kjøper du helserelaterte produkter, er det fort snakk om sensitive personopplysninger også i lovens forstand.

 

Siden @adeno ikke kommer med noen kilehenvisning, og sitatet ikke finnes i nåværende straffelov, regner jeg med at han har glemt at vi har fått en ny straffelov og siterer fra den gamle ved en feil. Den relevante bestemmelsen etter dagens straffelov § 204, som er den relevante bestemmelsen, lyder

"Med bot eller fengsel inntil 2 år straffes den som ved å bryte en beskyttelse eller ved annen uberettiget fremgangsmåte skaffer seg tilgang til datasystem eller del av det." Spørsmålet er altså om framgangsmåten - handlingen eller måten man har fått tilgang til datene - er uberettiget

 

Forarbeidene sier følgende om innholdet i begrepet i Ot.ptrp. 28 (2008-2009) på side 22:

Det er de nærmere omstendighetene som avgjør om handlingen er straffverdig og bør kriminaliseres, for eksempel av hvem og under hvilke forutsetninger handlingen er utført. På den bakgrunn gjør utvalget bruk av rettsstridsreservasjoner for å tydeliggjøre at virkefeltet til straffebestemmelsene må innsnevres. Av hensyn til forutsigelighet ser departementet imidlertid grunn til å konkretisere gjerningsbeskrivelsen i straffebudene så langt det lar seg gjøre, og i noen grad mer enn i Datakrimutvalgets forslag. Men der det ikke lar seg gjøre å snevre inn virkefeltet på en tilstrekkelig presis og fleksibel måte, er det også i departementets forslag tatt i bruk spesielle rettsstridsreservasjoner. Reservasjonen som er benyttet i forslagene er «uberettiget».

 

Er det å teste om et system man selv bruker har noen form for sikkerhetsmekanismer for å beskytte egne data, er det uberettiget?

 

Det er ihvertfall ikke mulig å svare et så klart ja på det som enkelte har gjort. Selv om det ikke lenger er noe krav til at man har brutt sikkerhetsmekanismer, er det naturlig nok en del av vurderingen. I kommentarene til bestemmelsen sies det også "Men selv om beskyttelsesinnbrudd ikke gjeninnføres som et nødvendig vilkår for straff, ønsker departementet likevel å fremheve at beskyttelsesbrudd vil være det mest praktiske, jf. lovforslaget § 204." Departementet sier da også i forarbeidene at elektornisk kartlegging neppe kan sies å være straffbart etter bestemmelsen.

 

redigert:

Dersom du leser denne tråden, så finner du svarene på alt du spør om, men jeg skal hjelpe deg ettersom du ser ut til å konsekvent ha en manglende evne til å få med deg det andre skriver, også selve artikkelen tråden omhandler.

 

1. Straffelovens §145

2. Det er relevant fordi det står i artikkelen vi kommenterer at REMA 1000 hevder dataene er hentet ulovlig.

3. Det finnes ingen kortnumre tilgjengelige, noe du ville sett dersom du, igjen, leste det du svarer på.

SÅ det ER gammel lov du viser til. Nå handler § 145 om "Deltakelse i militær virksomhet i væpnet konflikt i utlandet", det virker ikke umiddelbart relevant for diskusjonen om Æ.

 

Minner meg om en smått legendarisk dom der dommeren relativt skarpt påpekte at skråsikkerhet burde forbeholdes tilfeller der det var atskillig bedre dekning for det.

 

Den gamle bestemmelsen krevde vel forresten at en sikkerhetssperre var brutt? Jf forarbeidene som sier at fortolkningen av "uberettiget" må ”ses i sammenheng med kravet om at gjerningsmannen må ha overskredet en eller annenform for beskyttelse eller hindring.

Endret av NgZ
  • Liker 9
Lenke til kommentar

Til de som sier at dette ikke er sensitiv informasjon: Selvfølgelig er det det. Det er snakk om hvor du handler, hvor ofte, når og ikke minst hva. Det er store mengder informasjon, knyttet til identitet (mobilnummer) som kan avsløre vannvittig mye om folk. Uavhengig om det er definert som "sensitive personopplysninger" i personopplysningsloven, som sier noe om straffenivå for å glemme å implementere sikkerhetsmekanismer for å beskytte den, er det nettopp det det er.

Nå gjør du vel samme feilen, hevder noe bombastisk uten at det finnes belegg for det.

I følge datatilsynet er hverken telefonnummer eller handlelister sensitiv informasjon, hverken i den ene eller andre betydningen.

 

Personlig ville jeg nok være enig med deg i at handlelister knyttet opp mot person i enkelte tilfeller kan være sensitiv informasjon.

 

 

Siden @adeno ikke kommer med noen kilehenvisning, og sitatet ikke finnes i nåværende straffelov, regner jeg med at han har glemt at vi har fått en ny straffelov og siterer fra den gamle ved en feil.

 

Det er helt korrekt, jeg siterte fra den gamle straffeloven, som er erstattet av ny.

Jeg skal også innrømme at det er umulig med sikkerhet å si om dette er ulovlig eller ikke, det er det vel bare en domstol som kan avgjøre i denne spesifikke saken.

 

Etter min mening, og tydeligvis REMA 1000 sin, så dreier det seg om å få tilgang til data man ellers burde forstått at man ikke skulle hatt tilgang på, og derfor et lovbrudd.

 

Når vedkommende som skaffer seg tilgang til disse dataene også jobber med datasikkerhet, burde det være enda klarere for denne personen at hverken dataene eller lenkene var tiltenkt hans bruk.

 

I dette tilfellet er det jo heller ikke snakk om helt åpne data, denne API'en er skjult og tiltenkt internt bruk i REMA sine egne applikasjoner, og er ikke dokumentert noe sted, eller ansett å være offentlig tilgjengelig.

 

Problemet er selvfølgelig at API'en ikke autentiserer at brukeren virkelig er den han utgir seg for å være, og dette er en sikkerhetsblemme fra REMA 1000, men det betyr også at Nygård har omgått den sikkerheten som faktisk er implementert, om enn så dårlig den måtte være, eller som Nygård selv skriver, "obscurity != security".

 

Nå har ikke jeg lest avtalevilkårene til REMA, dersom de er like dårlige som appen så har vel ikke Nygård noe å frykte, men dersom avtalevilkårene beskriver normalt bruk, og hva man som bruker ikke kan gjøre, vanligvis ting som reverse engineering, pentesting, roting i koden og den slags, så kan det også være at REMA har en god sak i forhold til et sivilt søksmål.

 

Nå finnes det lite rettspraksis på slike saker, sannsynligvis fordi de fleste firmaer ikke anmelder slike ting, og heller ønsker å skyve det under teppet.

Det eneste jeg kommer på i farten er saken der nettsidene til Tele 2 og andre teleoperatører ble benyttet til å hente ut personnummer, hvor også dataene lå helt åpent, men som likevel førte til dom.

Lenke til kommentar

@adeneo Lurer på hvilke systemer du forvalter. Tror jeg skal styre unna dem også.

 

Hvorfor skulle min kunnskap om informasjonssikkerhet ha noe med mine meninger om denne saken å gjøre?

 

Jeg har forholdsvis god kunnskap om informasjonssikkerhet, jeg mener faktisk selv at min kunnskap om emnet er langt over gjennomsnittet. Jeg har for eksempel forstått at ikke alt jeg finner på nett, enten det er personlig informasjon eller annet, er tiltenkt mine øyne, og at det således kan være ulovlig for meg å forsøke å hente ut slik informasjon.

 

Det ser ut til at enkelte tror man automatisk har lov til å hente alt man finner på nett, kun fordi dataene ikke er beskyttet særlig godt, noe som ikke er tilfelle.

Lenke til kommentar

...

Straffeloven er rimelig krystallklar

 

..den som uberettiget skaffer seg adgang til data eller programutrustning som er lagret eller som overføres ved elektroniske eller andre tekniske hjelpemidler... straffes med bøter eller med fengsel inntil 6 måneder eller begge deler

 

Det står ingenting i loven om at dataene må oppnå et visst sikkerhetsnivå før tilgangen er å anse som uberettiget, faktisk er sikkerheten helt irrelevant.

Her burde Nygård forstått at disse kundedataene ikke var tiltenkt ham, og når han fortsatte å snoke i dataene, for å ikke snakke om publiserte skjermbilder, har han helt klart utført et lovbrudd.

Nå lønner det seg å referere til en lov som ikke er opphevet for flere år siden. I den nye straffeloven vil nok §204 - Innbrudd i datasystem være mest relevant, og den lyder som følger:

Med bot eller fengsel inntil 2 år straffes den som ved å bryte en beskyttelse eller ved annen uberettiget fremgangsmåte skaffer seg tilgang til datasystem eller del av det.

Allerede ved første øyekast ser vi jo at det du sier om at sikkerheten til dataene/systemet er "helt irrelevant" er helt feil. I den nye straffeloven har man tydelig gitt data som er beskyttet en større grad av lovbestemt beskyttelse.

 

Vi kan jo selvfølgelig fortsatt argumentere for og imot om man her har skaffet seg uberettiget tilgang til et datasystem (eller del av det). Dette mener jeg ikke er oppfylt, da man ikke har skaffet seg tilgang til et datasystem, men bruker det til å spørre om informasjon ved bruk av forespørsler som er strukturert og inneholder det samme som forespørslene sendt av appen. Dette er forespørsler som serveren svarer velvillig på, da det er slik api-en er kodet. Framgangsmåten er altså som tiltenkt, og dermed ikke uberettiget. Om man hadde konstruert forespørsler som utnyttet en bug, eller på annen måte var konstruert slik at de ikke samsvarte med forespørslene sendt av Rema sin egen app hadde saken trolig vært en annen.

 

Siden datasystemet i utgangspunktet var åpent uten noen form for beskyttelse, kan jeg heller ikke se at han har skaffet seg tilgang til det på uberettiget vis, eller at han har brutt noen som helst form for beskyttelse.

  • Liker 4
Lenke til kommentar

Slik enkelte her tolker loven så kan det virke som om de ville unngått å stoppe og sjekke hvis de så en bil som var kjørt av veien, siden de ved å åpne døren på den kolliderte bilen kunne blitt beskyldt for innbrudd i bilen...

Tenk hva de prøver å lære folk på førstehjelpskurs: Å riste i eller klapse en bevisstløs person på kinnet for å sjekke om man får kontakt. Tolker man loven helt bokstavelig kan jo dette anses som et fysisk angrep på personen...

 

 

Norges lover må ikke brukes som unnskyldning for å ikke bruke fornuft eller for å gjøre noe feil.

Endret av Frobe
  • Liker 3
Lenke til kommentar

 

 

Og da sikter du til akkurat hvilken paragraf i hvilken lov, og har henvisning til rettspraksis? Eller bare synser du?

 

Og - ikke minst - hvilken relevans har dette overhodet? 

 

Spørsmålet er ikke om denne ene personen har gjort noe ulovlig ved å finne hullet og advare om det, men om hvor mange andre som allerede har funnet hullet og lastet ned bøttevis med kortnummere uten at Rema vet noe om det? 

 

 

Dersom du leser denne tråden, så finner du svarene på alt du spør om, men jeg skal hjelpe deg ettersom du ser ut til å konsekvent ha en manglende evne til å få med deg det andre skriver, også selve artikkelen tråden omhandler.

 

1. Straffelovens §145

2. Det er relevant fordi det står i artikkelen vi kommenterer at REMA 1000 hevder dataene er hentet ulovlig.

3. Det finnes ingen kortnumre tilgjengelige, noe du ville sett dersom du, igjen, leste det du svarer på. 

 

 

 

For å ta det siste først, det har du rett i; kun deler av kortnummere har vært tilgjengelig, ikke fullstendige kortnummere slik jeg trodde.

Når det gjelder ulovligheten av det å hente ut åpent tilgjengelige data er det ikke nok å henvise til Straffelovens §145, det må vises til at en beskyttelsesmekanisme har vært brutt, og problemet her er nettopp fravær av slik mekanisme. Se f.eks. https://brage.bibsys.no/xmlui/bitstream/handle/11250/284375/bachelor_Hatlem.pdf?sequence=1 avsnitt 4.2. Ref. det som står i kap. 7 om å "skaffe seg adgang", må det vel sees i sammenheng med dette. I dagligtalens betydning av formuleringen er det å "skaffe seg adgang" noe alle som benytter internett på et eller annet vis gjør hele tiden; man "skaffer seg adgang" til informasjon og får denne overført til seg. Som f.eks. når vi leser digi.no eller diskuterer her. 

Lenke til kommentar

Det er litt interessant, men på ein litt trist måte, at diskusjonen har blitt rundt lovligheten av å avsløra at Rema 1000 ikkje har sikra data godt nok.

 

Hovedsaken slik eg ser det er:

Dersom eg gir Rema 1000 informasjon eller gir Rema 1000 tillatelse til å lagra informasjon som er relatert til mine interaksjonar med Rema 1000, så forutset eg at den informasjonen kun er tilgjengelig for meg og Rema 1000.

Om informasjonen er definert som "sensitiv" eller ikkje er for meg irrelevant. Heile forutsetningen for å dela informasjon med butikken er borte dersom andre har tilgang til informasjonen.

 

Eg gir blanke i ein relativt nerdete diskusjon om den som kan få tak i informasjonen må bryta lova. Det er Rema 100 sitt ansvar å sørga for at ingen får tak i informasjonen, uansett om det skjer på "lovlig" måte eller ikkje.

 

Dersom noen (som i dette tilfellet) har kunna henta ut informasjonen, så er det kun Rema 1000 sitt ansvar. Alle andre diskusjonar kan sikkert vera interessante i eit juridisk miljø, men for meg som kunde, er dette 100% Rema 1000 sitt ansvar. At noen tar seg tid til å testa sikkerheten rundt appen ser eg på som kun positivt. Det var jo noe utviklarane og Rema 1000 burde ha gjort.

  • Liker 5
Lenke til kommentar

Nå har ikke jeg lest avtalevilkårene til REMA, dersom de er like dårlige som appen så har vel ikke Nygård noe å frykte, men dersom avtalevilkårene beskriver normalt bruk, og hva man som bruker ikke kan gjøre, vanligvis ting som reverse engineering, pentesting, roting i koden og den slags, så kan det også være at REMA har en god sak i forhold til et sivilt søksmål.

 

Avtalevilkårene finnes her: https://www.rema.no/artikler/ae-brukervilkaar/

 

Jeg fant ikke noen punkter som handler direkte om «reverse engineering, pentesting, roting i koden og den slags». Det nærmeste er kanskje: «Alle immaterielle rettigheter (inkludert, men ikke begrenset til opphavsrettigheter, varemerker og patenter) til Æ tilhører REMA 1000 i Norge AS eller REMA 1000 i Norge AS’ leverandører og samarbeidspartnere.»

 

REMA 1000 skriver videre: «Vi er ikke ansvarlig for direkte eller indirekte skade, uteblitt fortjeneste eller for annet tap som skyldes at informasjonen publisert i applikasjonen er feil, vises eller presenteres på feil måte eller helt uteblitt på grunn av feil fra oss eller andre forhold.»

 

IANAL, som det heter på engelsk, så kanskje er det overstående irrelevant for nærværende sak.

Lenke til kommentar

Har ikke hele kortnummeret vært tilgjengelig? Det er 16 siffer i det som API'et leverte, og ett kortnummer er 16 siffer. I tillegg står det utløpsdato. Det eneste som da mangler er sikkerhetskoden.

 

Nei, flere av sifferene er byttet ut med X-er.

 

Hadde REMA levert fulle kortnummere hadde dette vært en betydelig større skandale, og hele greia hadde vært stengt ned for lengst. :)

Lenke til kommentar

 

Og da sikter du til akkurat hvilken paragraf i hvilken lov, og har henvisning til rettspraksis? Eller bare synser du?

 

Og - ikke minst - hvilken relevans har dette overhodet? 

 

Spørsmålet er ikke om denne ene personen har gjort noe ulovlig ved å finne hullet og advare om det, men om hvor mange andre som allerede har funnet hullet og lastet ned bøttevis med kortnummere uten at Rema vet noe om det?

Igjen: Kortnummere er ikke lekket.

 

Til de som sier at dette ikke er sensitiv informasjon: Selvfølgelig er det det. Det er snakk om hvor du handler, hvor ofte, når og ikke minst hva. Det er store mengder informasjon, knyttet til identitet (mobilnummer) som kan avsløre vannvittig mye om folk. Uavhengig om det er definert som "sensitive personopplysninger" i personopplysningsloven, som sier noe om straffenivå for å glemme å implementere sikkerhetsmekanismer for å beskytte den, er det nettopp det det er. Kjøper du helserelaterte produkter, er det fort snakk om sensitive personopplysninger også i lovens forstand.

 

Siden @adeno ikke kommer med noen kilehenvisning, og sitatet ikke finnes i nåværende straffelov, regner jeg med at han har glemt at vi har fått en ny straffelov og siterer fra den gamle ved en feil. Den relevante bestemmelsen etter dagens straffelov § 204, som er den relevante bestemmelsen, lyder

"Med bot eller fengsel inntil 2 år straffes den som ved å bryte en beskyttelse eller ved annen uberettiget fremgangsmåte skaffer seg tilgang til datasystem eller del av det." Spørsmålet er altså om framgangsmåten - handlingen eller måten man har fått tilgang til datene - er uberettiget

 

Forarbeidene sier følgende om innholdet i begrepet i Ot.ptrp. 28 (2008-2009) på side 22:

Det er de nærmere omstendighetene som avgjør om handlingen er straffverdig og bør kriminaliseres, for eksempel av hvem og under hvilke forutsetninger handlingen er utført. På den bakgrunn gjør utvalget bruk av rettsstridsreservasjoner for å tydeliggjøre at virkefeltet til straffebestemmelsene må innsnevres. Av hensyn til forutsigelighet ser departementet imidlertid grunn til å konkretisere gjerningsbeskrivelsen i straffebudene så langt det lar seg gjøre, og i noen grad mer enn i Datakrimutvalgets forslag. Men der det ikke lar seg gjøre å snevre inn virkefeltet på en tilstrekkelig presis og fleksibel måte, er det også i departementets forslag tatt i bruk spesielle rettsstridsreservasjoner. Reservasjonen som er benyttet i forslagene er «uberettiget».

 

Er det å teste om et system man selv bruker har noen form for sikkerhetsmekanismer for å beskytte egne data, er det uberettiget?

 

Det er ihvertfall ikke mulig å svare et så klart ja på det som enkelte har gjort. Selv om det ikke lenger er noe krav til at man har brutt sikkerhetsmekanismer, er det naturlig nok en del av vurderingen. I kommentarene til bestemmelsen sies det også "Men selv om beskyttelsesinnbrudd ikke gjeninnføres som et nødvendig vilkår for straff, ønsker departementet likevel å fremheve at beskyttelsesbrudd vil være det mest praktiske, jf. lovforslaget § 204." Departementet sier da også i forarbeidene at elektornisk kartlegging neppe kan sies å være straffbart etter bestemmelsen.

 

 

 

Interresant og relevant informasjon. Når beskyttelse er fraværende, som i dette tilfellet, står man igjen med spørsmål om det er uberettiget. Man kan spørre som du gjør:  Er det å teste om et system man selv bruker har noen form for sikkerhetsmekanismer for å beskytte egne data, er det uberettiget? Og man kan spørre seg; Er det uberettiget å skaffe seg tilgang til informasjon via én app (som f.eks. curl) når man likevel har tilgang via en annen (Æ)? Er det uberettiget når det ikke er rimelig tydelig om det er uberettiget eller ikke? 

  • Liker 1
Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
×
×
  • Opprett ny...