Korzystasz z aplikacji "Æ" Remy 1000? Ktoś mógł wykraść twoje dane

W środę ubiegłego tygodnia gazeta Stavanger Aftenblad opublikowała artykuł, w którym donosi o niepokojącym odkryciu specjalisty IT, Hallvarda Nygårda. Według informatyka, spersonalizowana aplikacja mobilna “Æ”, którą niedawno uruchomiła sieć sklepów Rema 1000, zawierała luki w zabezpieczeniach danych użytkowników. Rema 1000 szacuje, że aplikację do tej pory ściągnęło blisko 800 tys. osób, jednak w momencie odkrycia Hallvarda Nygårda korzystało z niej ok. 500 tys. użytkowników.

Rema 1000 zaprezentowała aplikację 4 stycznia. Ma ona pomóc klientom w oszczędzaniu na tych towarach, które kupują najczęściej, oraz warzywach i owocach. Aplikacja przydziela 10-procentowy rabat na określone produkty na podstawie zarejestrowanych list zakupów. Aby móc z niej korzystać, należy się zarejestrować, podając numer telefonu oraz karty debetowej, za pomocą której płaci się za zakupy.

Jak jednak pokazało odkrycie Nygårda, dane te nie były odpowiednio chronione.

– Każdy z połączeniem internetowym mógłby wyciągnąć jakiekolwiek informacje, włączając w to pojedyncze paragony za wszystkie płatności w każdym sklepie Remy 1000 – powiedział Hallvard Nygård dla Stavanger Aftenblad.

Wnioski Nygårda potwierdził norweski Urząd Ochrony Danych Osobowych (norw. Datatilsynet). Według badań tego urzędu, pomiędzy 13 a 26 stycznia bezpieczeństwo danych z aplikacji “Æ” było zagrożone.

Rema 1000 odpowiedziała szybko na te zarzuty. W swoim komunikacie prasowym przeprosiła użytkowników aplikacji i zapewniła, że wszystkie błędy zostały już naprawione.

– Podchodzimy poważnie do tego zdarzenia. Luki w zabezpieczeniach zostały natychmiast zidentyfikowane i naprawione. Przepraszamy użytkowników “Æ” i jednocześnie zapewniamy, że nie ma powodów do zmartwień – powiedziała Mette Fossum, dyrektor ds. komunikacji w Remie 1000.

Nygård nie zgadza się z tą wypowiedzią. Według niego to zaniedbanie może mieć bardzo poważne konsekwencje dla użytkowników.

– To nie to samo, co umieszczenie numeru telefonu na paragonie i wyrzucenie go do śmietnika. W tym przypadku można było pozyskać dane wszystkich użytkowników. To niebezpieczne, ponieważ naraża ich tożsamość na kradzież i użycie jej w nielegalnych działaniach - zaznacza Hallvard Nygård.

W swojej wypowiedzi Rema 1000 przedstawiła negatywnie inicjatywę Nygårda.

– Rema 1000 została powiadomiona o lukach w zabezpieczeniu przez osobę, która sama włamała się do systemu i wyciągnęła niektóre dane w nielegalny sposób – pisze Fossum w swojej wypowiedzi prasowej.

Na te słowa zareagował Torgeir Waterhouse, dyrektor w IKT Norge odpowiedzialny za Internet i media społecznościowe. IKT Norge to grupa interesu dla norweskich firm z branży IT i IKT.

– Zazwyczaj przedsiębiorstwa nagradzają tych, którzy odnajdują błędy w ich zabezpieczeniach. Rema powinna się cieszyć, że ta osoba zrozumiała powagę sprawy i powiadomiła ich. Są mu winni podziękowania, nie krytykę – mówi Waterhouse.

Według niego Rema nie miała prawa do krytykowania działań Nygårda tym bardziej, że sama nie przeznaczyła wystarczających środków na spełnienie przepisów prawnych, jakie dotyczą aplikacji wykorzystujących wrażliwe dane. Mette Fossum zaprzecza tym zarzutom, twierdząc, że bezpieczeństwo użytkowników to najwyższy priorytet Remy 1000.

Czy również korzystaliście z aplikacji “Æ”?