Harald Brombach (digi.no) Skrevet 2. februar 2017 Del Skrevet 2. februar 2017 Kaller Rema 1000s tilnærming i Æ-app-saken for «ganske grotesk» Lenke til kommentar
Ompa Kaiiizer Skrevet 2. februar 2017 Del Skrevet 2. februar 2017 100% enig med Waterhouse her. 5 Lenke til kommentar
henrikwl Skrevet 2. februar 2017 Del Skrevet 2. februar 2017 Ja, her stiller jeg meg bak Waterhouse. Svaret fra Rema 1000 tyder på at kommunikasjonsdirektøren har særdeles sviktende teknologisk forståelse og uttaler seg på naivt og klønete vis på bakgrunn av en teknisk rapport hun slettes ikke forstår. 6 Lenke til kommentar
Populært innlegg Civilix Skrevet 2. februar 2017 Populært innlegg Del Skrevet 2. februar 2017 (...)kommunikasjonsdirektøren har særdeles sviktende teknologisk forståelse(...) Ja, det er vel å forvente at en kommunikasjonsdirektør har en dyp teknologisk forståelse, eller... 11 Lenke til kommentar
roflol Skrevet 2. februar 2017 Del Skrevet 2. februar 2017 Er vel noen inders som har lagget appen, rema 1000 er helt ignoranter. En ting er sikkert er at eg kjem ikkje til og bruke norske ikkje 100 % statlig apper, når bådde vipps og æ ignorer helt på sikkerhet..... Lenke til kommentar
raWrz Skrevet 2. februar 2017 Del Skrevet 2. februar 2017 "Digi.no spurte om Rema 1000 kan garantere at ingen andre har oppdaget det samme som Nygård og utnyttet dette før sikkerhetshullet ble fjernet. – Rema 1000 har gjennomgått historiske logger fra lanseringsdato av Æ, samt overvåking av systemene for å identifisere hvem som har utnyttet sikkerhetshullet hvor personopplysninger kunne hentes ut. Vi har ikke identifisert andre aktører i denne sammenheng." Jeg kjenner/veit om flere personer som har både utforsket dette. Og noen som har sendt inn rapport om sikkerhetshullene. Dette kan bite dem fort i rumpa 9 Lenke til kommentar
olemars Skrevet 2. februar 2017 Del Skrevet 2. februar 2017 "Det beklager vi, men gjentar at det ikke var en direkte kobling til navn i denne informasjonen. " Så vidt jeg har forstått var telefonnummeret en del av tilgjengelig data. Da kunne de liksågodt lagt inn fullt navn og adresse og spart de med eventuelt vonde hensikter bryet med å krysskoble mot 1881. 5 Lenke til kommentar
mathiash98 Skrevet 2. februar 2017 Del Skrevet 2. februar 2017 "Digi.no spurte om Rema 1000 kan garantere at ingen andre har oppdaget det samme som Nygård og utnyttet dette før sikkerhetshullet ble fjernet. – Rema 1000 har gjennomgått historiske logger fra lanseringsdato av Æ, samt overvåking av systemene for å identifisere hvem som har utnyttet sikkerhetshullet hvor personopplysninger kunne hentes ut. Vi har ikke identifisert andre aktører i denne sammenheng." Jeg kjenner/veit om flere personer som har både utforsket dette. Og noen som har sendt inn rapport om sikkerhetshullene. Dette kan bite dem fort i rumpa Ja helt enig, jeg ser egentlig veldig liten mulighet til å avdekke om andre såkalte aktører har hentet data, tviler på at de loggfører hvor mye hver ip addresse bruker APIen når de ikke engang har et enkelt autentiseringssystem 1 Lenke til kommentar
Ove Gram Nipen Skrevet 2. februar 2017 Del Skrevet 2. februar 2017 Her får REMA 1000 en ny sjanse til å forklare seg, og så velger de fortsatt ikke å trekke tilbake uttalelsen om at Nygård har gjort noe ulovlig. I tillegg gjentar de meningsløse uttalelser som "sikkerhet har høyeste prioritet hos REMA 1000". Det er jo åpenbart at sikkerheten har kommet langt bak i rekken i dette tilfellet. 9 Lenke til kommentar
quantum Skrevet 2. februar 2017 Del Skrevet 2. februar 2017 "Digi.no spurte om Rema 1000 kan garantere at ingen andre har oppdaget det samme som Nygård og utnyttet dette før sikkerhetshullet ble fjernet. – Rema 1000 har gjennomgått historiske logger fra lanseringsdato av Æ, samt overvåking av systemene for å identifisere hvem som har utnyttet sikkerhetshullet hvor personopplysninger kunne hentes ut. Vi har ikke identifisert andre aktører i denne sammenheng." Jeg kjenner/veit om flere personer som har både utforsket dette. Og noen som har sendt inn rapport om sikkerhetshullene. Dette kan bite dem fort i rumpa Når noen lanserer en app kan man være ganske sikker på at det står en god del "interessenter" klare for å se hva som kan fiskes ut, så her er nok Rema enten ufattelig dårlige til å juge eller så har de bare ufattelig dårlig logging. Hadde nok tatt seg betydelig bedre ut å legge seg litt småflat denne gangen ... 3 Lenke til kommentar
-Night- Skrevet 2. februar 2017 Del Skrevet 2. februar 2017 Gjennomgående og sårbar 'HTTPS' sårbar for fleretyper angrep. Ikke minst at de bruker Azure, hvor er ganratier for at kort osv ikke lagrest i utlandet? Lenke til kommentar
tommyb Skrevet 2. februar 2017 Del Skrevet 2. februar 2017 tviler på at de loggfører hvor mye hver ip addresse bruker APIen når de ikke engang har et enkelt autentiseringssystem Nå sier strengt tatt det lite om hvordan webserveren er satt opp at de ikke gikk til det "ekstra" steget å utvikle et autentiseringssystem i API+app. Logging = drift/oppsett, autentiseringssystem = utvikling på minst to forskjellige plattformer. Lenke til kommentar
jpsalvesen Skrevet 2. februar 2017 Del Skrevet 2. februar 2017 Opplysningene som ble hentet ut var i et begrenset omfang, det vil si at det gjelder et fåtall brukere og at opplysningene ikke er å anse som sensitive personopplysninger. Informasjonen er begrenset til telefonnummer og handlekvitteringer hos et fåtall kunder. Dataen var kryptert og det kreves spesifikk kunnskap for å kunne hente ut informasjonen og dekryptere denne. Les disse setningene et par ganger. Sier de rett og slett av telefonnummer og kvitteringer ikke er å regne som "sensitive personopplysninger"?! Det er ikke sensitivt hva slags kondom jeg foretrekker, ei heller min presise identitet? Rema 1000 har en lang vei foran seg før de i det hele tatt forstår hva de har gjort galt. Lenke til kommentar
Aiven Skrevet 2. februar 2017 Del Skrevet 2. februar 2017 (endret) Her får REMA 1000 en ny sjanse til å forklare seg, og så velger de fortsatt ikke å trekke tilbake uttalelsen om at Nygård har gjort noe ulovlig. I tillegg gjentar de meningsløse uttalelser som "sikkerhet har høyeste prioritet hos REMA 1000". Det er jo åpenbart at sikkerheten har kommet langt bak i rekken i dette tilfellet. Frekkhetens nådegaver må være 101 på PR-skoler. Uansett hva som har skjedd, så forsikre om dine prioriteringer. Hele varelageret stjålet? Innbruddsikkerheten står i høysetet. Hele arbeidsstokken tjener under minstelønn? Firmaet er opptatt av å følge arbeidsmiljøloven til punkt og prikke. Ørten fjorder forurenset? Miljøhensyn kommer foran alt annet for vårt firma. Endret 2. februar 2017 av Aiven 6 Lenke til kommentar
0laf Skrevet 2. februar 2017 Del Skrevet 2. februar 2017 Er vel noen inders som har lagget appen, rema 1000 er helt ignoranter. En ting er sikkert er at eg kjem ikkje til og bruke norske ikkje 100 % statlig apper, når bådde vipps og æ ignorer helt på sikkerhet..... Det er Shortcut som har utviklet appen, norges største utvikler av apper, som også har laget apper for Telenor, NAF, NRK, Posten, NSB, Ruter, Securitas, Nordea m.fl. Ja helt enig, jeg ser egentlig veldig liten mulighet til å avdekke om andre såkalte aktører har hentet data, tviler på at de loggfører hvor mye hver ip addresse bruker APIen når de ikke engang har et enkelt autentiseringssystem Det er jo helt elementært å ha loggføring på serveren av forespørsler og IP-adresser, noe annet ville være utenkelig, å ville jo bety at de aktivt har slått av loggingen i Azure (dersom det stemmer at det er Azure de bruker). Du kan nok regne med at de i ettertid kan se på loggene hvem som har gjort forespørsler med mange forskjellige bruker-id'er. Les disse setningene et par ganger. Sier de rett og slett av telefonnummer og kvitteringer ikke er å regne som "sensitive personopplysninger"?! Det er ikke sensitivt hva slags kondom jeg foretrekker, ei heller min presise identitet? Sensitiv informasjon ville vært betalingsinformasjon, din legning, politiske tilhørighet, medlemskap i fagforening og den slags. Telefonnummeret ditt og hva du har handlet i butikken er ikke sensitiv informasjon, selv ikke personnummeret ditt er sensitiv informasjon. Du har dog rett i at det vil være trivielt å slå opp telefonnummeret ditt for å koble deg mot kjøp du har gjort med denne appen, og så potensielt finne ut en hel del om deg. Det betyr dog ikke at telefonnummeret og handlelistene dine er å anse som sensitiv informasjon. Lenke til kommentar
C4Y0WZQ4 Skrevet 2. februar 2017 Del Skrevet 2. februar 2017 Opplysningene som ble hentet ut var i et begrenset omfang, det vil si at det gjelder et fåtall brukere og at opplysningene ikke er å anse som sensitive personopplysninger. Informasjonen er begrenset til telefonnummer og handlekvitteringer hos et fåtall kunder. Dataen var kryptert og det kreves spesifikk kunnskap for å kunne hente ut informasjonen og dekryptere denne. Les disse setningene et par ganger. Sier de rett og slett av telefonnummer og kvitteringer ikke er å regne som "sensitive personopplysninger"?! Det er ikke sensitivt hva slags kondom jeg foretrekker, ei heller min presise identitet? Rema 1000 har en lang vei foran seg før de i det hele tatt forstår hva de har gjort galt. Personopplysning er en opplysning eller vurdering som kan knyttes til deg som enkeltperson, slik som for eksempel navn, adresse, telefonnummer, e-postadresse, IP-adresse, bilnummer, bilder, fingeravtrykk, irismønster, hodeform (for ansiktsgjenkjenning) og fødselsnummer (både fødselsdato og personnummer). Opplysninger om atferdsmønstre er også regnet som personopplysninger. Opplysninger om hva du handler, hvilke butikker du går i, hvilke tv-serier du ser på, hvor du beveger deg i løpet av en dag og hva du søker etter på nettet er alt sammen personopplysninger. En av de nyere utfordringene for personvernet er at vi legger igjen så mange digitale spor. Disse opplysningene utnyttes ofte kommersielt uten at du har samtykket til det. Sensitive personopplysninger er opplysninger om rasemessig eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning, at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling, helseforhold, seksuelle forhold eller medlemskap i fagforeninger. Lenke til kommentar
bmork Skrevet 2. februar 2017 Del Skrevet 2. februar 2017 Det er Shortcut som har utviklet appen, norges største utvikler av apper, som også har laget apper for Telenor, NAF, NRK, Posten, NSB, Ruter, Securitas, Nordea m.fl. Så da sier du at de ikke er inkompetente og at denne sikkerhetsblemma er noe de la inn med vitende og vilje? Og at de sannsyligvis har gjort det samme i en rekke andre apper, der det har enda større konsekvenser? Det var jo beroligende. Lenke til kommentar
0laf Skrevet 2. februar 2017 Del Skrevet 2. februar 2017 Det er Shortcut som har utviklet appen, norges største utvikler av apper, som også har laget apper for Telenor, NAF, NRK, Posten, NSB, Ruter, Securitas, Nordea m.fl. Så da sier du at de ikke er inkompetente og at denne sikkerhetsblemma er noe de la inn med vitende og vilje? Og at de sannsyligvis har gjort det samme i en rekke andre apper, der det har enda større konsekvenser? Det var jo beroligende. Nei, det sier jeg ikke, kan du ikke lese? Jeg sier at appen er utviklet av norges største utvikler av apper, ikke av indere, og at dette selskapet sannsynligvis også har laget de fleste andre apper som mange bruker. Hvorvidt de har tatt et aktivt valg om å ikke autentisere brukere for hvert kall til API'en for å gjøre ting enklere, fordi de ikke har ansett dataene som kritiske eller lignende, eller om de rett og slett har glemt det, vet ikke jeg? Man kan likevel anta at Shortcut besitter kunnskap om hvordan slik sikkerhet implementeres, dersom de velger å implementere det, noe de nå også har gjort i denne appen. 1 Lenke til kommentar
jpsalvesen Skrevet 2. februar 2017 Del Skrevet 2. februar 2017 (endret) Jeg husket ikke at "sensitive personopplysninger" er et eget juridisk begrep... Dog er det genialt av Rema å bruke akkurat det begrepet - for de lagrer jo overhodet ingen "sensitive personopplysninger". De lagrer helt vanlige personopplysninger. Dermed kan de med sannhet si at de ikke har lekket "sensitive personopplysninger". Det er bare at dette begrepet altså ikke betyr det man tror det gjør... Uansett: Alle som lagrer personopplysninger plikter å sikre dem: De som oppbevarer personopplysninger må sikre opplysningene mot uautorisert tilgang, endring, ødeleggelse og spredning. På dette punktet har Rema soleklart brutt paragraf 13 i personopplysningsloven. Endret 2. februar 2017 av jpsalvesen 3 Lenke til kommentar
bmork Skrevet 2. februar 2017 Del Skrevet 2. februar 2017 Nei, det sier jeg ikke, kan du ikke lese? Jeg sier at appen er utviklet av norges største utvikler av apper, ikke av indere, og at dette selskapet sannsynligvis også har laget de fleste andre apper som mange bruker. Hvorvidt de har tatt et aktivt valg om å ikke autentisere brukere for hvert kall til API'en for å gjøre ting enklere, fordi de ikke har ansett dataene som kritiske eller lignende, eller om de rett og slett har glemt det, vet ikke jeg? Man kan likevel anta at Shortcut besitter kunnskap om hvordan slik sikkerhet implementeres, dersom de velger å implementere det, noe de nå også har gjort i denne appen. Ja, jeg sliter nok med leseferdigheten. Eller så er det du skriver så komplett irrelevant at det er meningsløst, og jeg innbiller meg at jeg skal finne en mening i det. Stor er automatisik bra? Norsk firma betyr at utviklerne er norske? Manglende sikkerhet er greit fordi de kunne gjort det bedre? Nei, jeg tror ikke jeg kommer til å forstå deg. Du har rett i det ihvertfall. Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå