Bisarr unnskyldning.

11. januar ble Rema gjort oppmerksom på et alvorlig sikkerhetshull i sin nye storsatsning: appen Æ.

Denne artikkelen ble opprinnelig publisert i Datasikkerhetsbloggen.

Oppdaget av privatperson

Hallvard Nygård hadde oppdaget at man fritt kunne etterspørre informasjon fra appens bakenforliggende systemer, for vilkårlige kunder, helt uten noen form for autentisering.

Med andre ord: kvitteringer og personopplysninger som telefonnummer og deler av kortinformasjonen lå fritt tilgjengelig på nettet.

Helt feil måte å håndtere saken på

Dette er en feil som REMA og apputvikler Shortcut i aller høyeste grad burde ha styrt greit unna. Tre uker senere kommer hendelsen ut i offentligheten, og REMA kommer med en pressemelding for å informere om situasjonen.

Denne pressemeldingen er stort sett bortforklaringer og uriktigheter. REMA inntar den dessverre alt for vanlige holdningen om å forskyve skylden over på varsleren:

«REMA 1000 ble gjort oppmerksom på sikkerhetsbruddet av en varsler som selv gikk inn og skaffet seg informasjon på ulovlig vis.»

Dette innlegget skal ikke gå inn på hvorvidt uthentingen av den tilgjengelige informasjonen er ulovlig eller ikke. I denne situasjonen spiller det uansett ingen rolle.

Det som er viktig er: At noe skal være ulovlig er på ingen måte en sikkerhetsmekanisme. Det blir som å la banken og bankhvelvet stå ulåst utenom åpningstiden, fordi det jo er ulovlig å stjele pengene som ligger der.

At REMA tyr til slike argumenter vitner om en sikkerhetsmessig umodenhet som er urovekkende.

Det er liksom ikke så alvorlig?

Videre forsøker REMA å dysse ned alvorligheten av sikkerhetshullet, ved å fremheve at det kun var informasjonen for et fåtall brukere – eller 3400 som det også heter – som ble hentet ut. Mye tyder imidlertid på at informasjonen for samtlige brukere lå fritt tilgjengelig, og at det «begrensede omfanget» var ren flaks fra REMA sin side.

Så kommer den mest bisarre setningen i hele pressemeldingen:

«Dataen var kryptert og det kreves spesifikk kunnskap for å kunne hente ut informasjonen og dekryptere denne.»

Hvorvidt REMA bevisst lyver, eller om det kun er dårlig formidling av de faktiske forhold vites ikke. Om man lar tvilen komme de til gode, og antar at de ikke bevisst lyver, så mangler de som skrev pressemeldingen den nødvendige tekniske kompetansen til å komme med tekniske uttalelser. Ingen med den nødvendige kompetansen kontrollerte heller pressemeldingen før den ble sluppet.

For som klart synlig i informasjonen Nygård har frigitt: dataene som ble hentet ut var overhodet ikke kryptert, og det var følgelig ingenting å «dekryptere.»

Sludder

Det at det også skulle være nødvendig med «spesifikk kunnskap for å kunne hente ut informasjonen» er også rent sludder, spesielt som argument for sikkerhet.

Selv om ikke en hver nordmann med datamaskin i hus ville visst hvordan man henter ut denne informasjonen, så er slik aktivitet på et relativt lavt teknisk nivå. Det krever heller ikke noen spesiell kunnskap om hvordan systemene fungerer utover det man enkelt kan observere fra utsiden. Hva sikkerhet angår, blir dette som å etterlate seg bilen sin med nøklene i, fordi det kreves «spesifikk kunnskap» for å sette seg inn og kjøre av gårde.

Når kommunikasjonsdirektøren så påpeker at det «ikke er grunn til bekymring», fremstår dette som heller tomme ord. De fokuserer på at fullstendig betalingskortinformasjon ikke kom på avveie, og at man derfor er trygg.

Lite nevnes det at koblingen mellom varer som er handlet og det identifiserende telefonnummeret er informasjon de har lovt brukeren å holde hemmelig, men ikke klart.

Ikke alle vil synes det er like lite «grunn til bekymring» at venner og familie vet de har handlet øl, graviditetstester, inkontinesbind osv. REMA glemte å gjøre leksene sine, og nå skylder de på hunden.

Det er viktig å påpeke at hensikten med dette innlegget ikke er å henge ut REMA 1000 eller Shortcut generelt. Det er heller ingen kritikk av appen Æ som produkt. Det ønskes derimot å belyse hvordan slike sikkerhetsavsløringer alt for ofte «tulles bort» av bedrifter gjennom pressemeldinger som først og fremst er laget for å redde sitt eget skinn. Da var dette et glimrende eksempel…