Gå til innhold

Kaller Rema 1000s tilnærming i Æ-app-saken for «ganske grotesk»

Harald Brombach (digi.no)

Anbefalte innlegg

Videoannonse

Videoannonse
Annonse
raWrz

raWrz

Skrevet
Skrevet
"Digi.no spurte om Rema 1000 kan garantere at ingen andre har oppdaget det samme som Nygård og utnyttet dette før sikkerhetshullet ble fjernet.

 

– Rema 1000 har gjennomgått historiske logger fra lanseringsdato av Æ, samt overvåking av systemene for å identifisere hvem som har utnyttet sikkerhetshullet hvor personopplysninger kunne hentes ut. Vi har ikke identifisert andre aktører i denne sammenheng."

 

 

Jeg kjenner/veit om flere personer som har både utforsket dette. Og noen som har sendt inn rapport om sikkerhetshullene.

 

Dette kan bite dem fort i rumpa

  • Liker 9
Lenke til kommentar
olemars

olemars

Skrevet
Skrevet

"Det beklager vi, men gjentar at det ikke var en direkte kobling til navn i denne informasjonen. "

 

Så vidt jeg har forstått var telefonnummeret en del av tilgjengelig data. Da kunne de liksågodt lagt inn fullt navn og adresse og spart de med eventuelt vonde hensikter bryet med å krysskoble mot 1881.

  • Liker 5
Lenke til kommentar
mathiash98

mathiash98

Skrevet
Skrevet

"Digi.no spurte om Rema 1000 kan garantere at ingen andre har oppdaget det samme som Nygård og utnyttet dette før sikkerhetshullet ble fjernet.

 

– Rema 1000 har gjennomgått historiske logger fra lanseringsdato av Æ, samt overvåking av systemene for å identifisere hvem som har utnyttet sikkerhetshullet hvor personopplysninger kunne hentes ut. Vi har ikke identifisert andre aktører i denne sammenheng."

 

 

Jeg kjenner/veit om flere personer som har både utforsket dette. Og noen som har sendt inn rapport om sikkerhetshullene.

 

Dette kan bite dem fort i rumpa

 

Ja helt enig, jeg ser egentlig veldig liten mulighet til å avdekke om andre såkalte aktører har hentet data, tviler på at de loggfører hvor mye hver ip addresse bruker APIen når de ikke engang har et enkelt autentiseringssystem

  • Liker 1
Lenke til kommentar
Ove Gram Nipen

Ove Gram Nipen

Skrevet
Skrevet

Her får REMA 1000 en ny sjanse til å forklare seg, og så velger de fortsatt ikke å trekke tilbake uttalelsen om at Nygård har gjort noe ulovlig.

 

I tillegg gjentar de meningsløse uttalelser som "sikkerhet har høyeste prioritet hos REMA 1000". Det er jo åpenbart at sikkerheten har kommet langt bak i rekken i dette tilfellet.

  • Liker 9
Lenke til kommentar
quantum

quantum

Skrevet
Skrevet

 

"Digi.no spurte om Rema 1000 kan garantere at ingen andre har oppdaget det samme som Nygård og utnyttet dette før sikkerhetshullet ble fjernet.
 
– Rema 1000 har gjennomgått historiske logger fra lanseringsdato av Æ, samt overvåking av systemene for å identifisere hvem som har utnyttet sikkerhetshullet hvor personopplysninger kunne hentes ut. Vi har ikke identifisert andre aktører i denne sammenheng."
 
 
Jeg kjenner/veit om flere personer som har både utforsket dette. Og noen som har sendt inn rapport om sikkerhetshullene.
 
Dette kan bite dem fort i rumpa

 

 

 

Når noen lanserer en app kan man være ganske sikker på at det står en god del "interessenter" klare for å se hva som kan fiskes ut, så her er nok Rema enten ufattelig dårlige til å juge eller så har de bare ufattelig dårlig logging. Hadde nok tatt seg betydelig bedre ut å legge seg litt småflat denne gangen ...

  • Liker 3
Lenke til kommentar
tommyb

tommyb

Skrevet
Skrevet

tviler på at de loggfører hvor mye hver ip addresse bruker APIen når de ikke engang har et enkelt autentiseringssystem

 

 

Nå sier strengt tatt det lite om hvordan webserveren er satt opp at de ikke gikk til det "ekstra" steget å utvikle et autentiseringssystem i API+app. Logging = drift/oppsett, autentiseringssystem = utvikling på minst to forskjellige plattformer.

Lenke til kommentar
jpsalvesen

jpsalvesen

Skrevet
Skrevet

 

 

Opplysningene som ble hentet ut var i et begrenset omfang, det vil si at det gjelder et fåtall brukere og at opplysningene ikke er å anse som sensitive personopplysninger. Informasjonen er begrenset til telefonnummer og handlekvitteringer hos et fåtall kunder. Dataen var kryptert og det kreves spesifikk kunnskap for å kunne hente ut informasjonen og dekryptere denne.

Les disse setningene et par ganger. Sier de rett og slett av telefonnummer og kvitteringer ikke er å regne som "sensitive personopplysninger"?! Det er ikke sensitivt hva slags kondom jeg foretrekker, ei heller min presise identitet? 

 

Rema 1000 har en lang vei foran seg før de i det hele tatt forstår hva de har gjort galt. 

Lenke til kommentar
Aiven

Aiven

Skrevet
Skrevet (endret)

Her får REMA 1000 en ny sjanse til å forklare seg, og så velger de fortsatt ikke å trekke tilbake uttalelsen om at Nygård har gjort noe ulovlig.

 

I tillegg gjentar de meningsløse uttalelser som "sikkerhet har høyeste prioritet hos REMA 1000". Det er jo åpenbart at sikkerheten har kommet langt bak i rekken i dette tilfellet.

 

Frekkhetens nådegaver må være 101 på PR-skoler. Uansett hva som har skjedd, så forsikre om dine prioriteringer. Hele varelageret stjålet? Innbruddsikkerheten står i høysetet. Hele arbeidsstokken tjener under minstelønn? Firmaet er opptatt av å følge arbeidsmiljøloven til punkt og prikke. Ørten fjorder forurenset? Miljøhensyn kommer foran alt annet for vårt firma.

Endret av Aiven
  • Liker 6
Lenke til kommentar
0laf

0laf

Skrevet
Skrevet

Er vel noen inders som har lagget appen, rema 1000 er helt ignoranter. En ting er sikkert er at eg kjem ikkje til og bruke norske ikkje 100 % statlig apper, når bådde vipps og æ ignorer helt på sikkerhet.....

 

Det er Shortcut som har utviklet appen, norges største utvikler av apper, som også har laget apper for Telenor, NAF, NRK, Posten, NSB, Ruter, Securitas, Nordea m.fl.

 

Ja helt enig, jeg ser egentlig veldig liten mulighet til å avdekke om andre såkalte aktører har hentet data, tviler på at de loggfører hvor mye hver ip addresse bruker APIen når de ikke engang har et enkelt autentiseringssystem

 

Det er jo helt elementært å ha loggføring på serveren av forespørsler og IP-adresser, noe annet ville være utenkelig, å ville jo bety at de aktivt har slått av loggingen i Azure (dersom det stemmer at det er Azure de bruker).

Du kan nok regne med at de i ettertid kan se på loggene hvem som har gjort forespørsler med mange forskjellige bruker-id'er.

 

 

Les disse setningene et par ganger. Sier de rett og slett av telefonnummer og kvitteringer ikke er å regne som "sensitive personopplysninger"?! Det er ikke sensitivt hva slags kondom jeg foretrekker, ei heller min presise identitet? 

 

Sensitiv informasjon ville vært betalingsinformasjon, din legning, politiske tilhørighet, medlemskap i fagforening og den slags.

Telefonnummeret ditt og hva du har handlet i butikken er ikke sensitiv informasjon, selv ikke personnummeret ditt er sensitiv informasjon.

 

Du har dog rett i at det vil være trivielt å slå opp telefonnummeret ditt for å koble deg mot kjøp du har gjort med denne appen, og så potensielt finne ut en hel del om deg.

Det betyr dog ikke at telefonnummeret og handlelistene dine er å anse som sensitiv informasjon.

Lenke til kommentar
C4Y0WZQ4

C4Y0WZQ4

Skrevet
Skrevet

 

 

 Opplysningene som ble hentet ut var i et begrenset omfang, det vil si at det gjelder et fåtall brukere og at opplysningene ikke er å anse som sensitive personopplysninger. Informasjonen er begrenset til telefonnummer og handlekvitteringer hos et fåtall kunder. Dataen var kryptert og det kreves spesifikk kunnskap for å kunne hente ut informasjonen og dekryptere denne.

Les disse setningene et par ganger. Sier de rett og slett av telefonnummer og kvitteringer ikke er å regne som "sensitive personopplysninger"?! Det er ikke sensitivt hva slags kondom jeg foretrekker, ei heller min presise identitet? 

 

Rema 1000 har en lang vei foran seg før de i det hele tatt forstår hva de har gjort galt. 

 

Personopplysning er en opplysning eller vurdering som kan knyttes til deg som enkeltperson, slik som for eksempel navn, adresse, telefonnummer,

e-postadresse, IP-adresse, bilnummer, bilder, fingeravtrykk, irismønster, hodeform (for ansiktsgjenkjenning) og fødselsnummer (både fødselsdato og personnummer).

Opplysninger om atferdsmønstre er også regnet som personopplysninger. Opplysninger om hva du handler, hvilke butikker du går i, hvilke tv-serier du ser på, hvor du beveger deg i løpet av en dag og hva du søker etter på nettet er alt sammen personopplysninger. En av de nyere utfordringene for personvernet  er at vi legger igjen så mange digitale spor. Disse opplysningene utnyttes ofte kommersielt uten at du har samtykket til det.

 

Sensitive personopplysninger er opplysninger om rasemessig eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning, at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling, helseforhold, seksuelle forhold eller medlemskap i fagforeninger.

Lenke til kommentar
bmork

bmork

Skrevet
Skrevet

Det er Shortcut som har utviklet appen, norges største utvikler av apper, som også har laget apper for Telenor, NAF, NRK, Posten, NSB, Ruter, Securitas, Nordea m.fl.

Så da sier du at de ikke er inkompetente og at denne sikkerhetsblemma er noe de la inn med vitende og vilje?  Og at de sannsyligvis har gjort det samme i en rekke andre apper, der det har enda større konsekvenser?

 

Det var jo beroligende.

Lenke til kommentar
0laf

0laf

Skrevet
Skrevet

 

Det er Shortcut som har utviklet appen, norges største utvikler av apper, som også har laget apper for Telenor, NAF, NRK, Posten, NSB, Ruter, Securitas, Nordea m.fl.

 

Så da sier du at de ikke er inkompetente og at denne sikkerhetsblemma er noe de la inn med vitende og vilje?  Og at de sannsyligvis har gjort det samme i en rekke andre apper, der det har enda større konsekvenser?

 

Det var jo beroligende.

 

 

Nei, det sier jeg ikke, kan du ikke lese?

Jeg sier at appen er utviklet av norges største utvikler av apper, ikke av indere, og at dette selskapet sannsynligvis også har laget de fleste andre apper som mange bruker.

 

Hvorvidt de har tatt et aktivt valg om å ikke autentisere brukere for hvert kall til API'en for å gjøre ting enklere, fordi de ikke har ansett dataene som kritiske eller lignende, eller om de rett og slett har glemt det, vet ikke jeg?

 

Man kan likevel anta at Shortcut besitter kunnskap om hvordan slik sikkerhet implementeres, dersom de velger å implementere det, noe de nå også har gjort i denne appen.

  • Liker 1
Lenke til kommentar
jpsalvesen

jpsalvesen

Skrevet
Skrevet (endret)

Jeg husket ikke at "sensitive personopplysninger" er et eget juridisk begrep... Dog er det genialt av Rema å bruke akkurat det begrepet - for de lagrer jo overhodet ingen "sensitive personopplysninger". De lagrer helt vanlige personopplysninger. Dermed kan de med sannhet si at de ikke har lekket "sensitive personopplysninger". Det er bare at dette begrepet altså ikke betyr det man tror det gjør... 

 

Uansett: Alle som lagrer personopplysninger plikter å sikre dem:

 

De som oppbevarer personopplysninger må sikre opplysningene mot uautorisert tilgang, endring, ødeleggelse og spredning.

 

På dette punktet har Rema soleklart brutt paragraf 13 i personopplysningsloven. 

Endret av jpsalvesen
  • Liker 3
Lenke til kommentar
bmork

bmork

Skrevet
Skrevet

 

Nei, det sier jeg ikke, kan du ikke lese?

Jeg sier at appen er utviklet av norges største utvikler av apper, ikke av indere, og at dette selskapet sannsynligvis også har laget de fleste andre apper som mange bruker.

 

Hvorvidt de har tatt et aktivt valg om å ikke autentisere brukere for hvert kall til API'en for å gjøre ting enklere, fordi de ikke har ansett dataene som kritiske eller lignende, eller om de rett og slett har glemt det, vet ikke jeg?

 

Man kan likevel anta at Shortcut besitter kunnskap om hvordan slik sikkerhet implementeres, dersom de velger å implementere det, noe de nå også har gjort i denne appen.

 

Ja, jeg sliter nok med leseferdigheten.  Eller så er det du skriver så komplett irrelevant at det er meningsløst, og jeg innbiller meg at jeg skal finne en mening i det.

 

Stor er automatisik bra? Norsk firma betyr at utviklerne er norske? Manglende sikkerhet er greit fordi de kunne gjort det bedre?

 

Nei, jeg tror ikke jeg kommer til å forstå deg. Du har rett i det ihvertfall.

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
Gå til emneliste

  • Hvem er aktive   0 medlemmer

    • Ingen innloggede medlemmer aktive
×
×
  • Opprett ny...