Du bruker en gammel nettleserversjon. Bruk en støttet versjon for å få en optimal MSN-opplevelse.

Advarer mot sikkerhetshull i Meny og Kiwis Trumf-app: - Lett å overvåke kjæresten

Nettavisen-logo Nettavisen 19.04.2021 Nina Lorvik
PROBLEMATISK: Hans Marius Tessem i Norsk senter for informasjonssikring mener det burde vært bedre sikkerhet på Trumfs medlemskonto. © Nina Lorvik (Mediehuset Nettavisen) PROBLEMATISK: Hans Marius Tessem i Norsk senter for informasjonssikring mener det burde vært bedre sikkerhet på Trumfs medlemskonto. Advarer mot sikkerhetshull i Meny og Kiwis Trumf-app: - Lett å overvåke kjæresten

Trumf er Norgesgruppens fordelsprogram, som betyr at du som medlem kan få bonus hver gang du handler hos for eksempel Kiwi eller Meny. I tillegg får du tilgang på kvitteringer for alle kjøp.

Over to millioner norske dagligvarekunder er medlem i Trumf.

Du trenger bare kontonummeret som står bak på et hvilket som helst Visa-kort. Det er bare ett problem: Hvem som helst kan legge inn ditt kontonummer - så lenge du ikke er Trumf-medlem fra før.

Det betyr at samboeren eller eksen din, venner eller fremmede kan overvåke hvor, når og hva du handler. Det er problematisk, mener Datatilsynet.

- Det er viktig å huske at hva slags varer noen kjøper i en butikk, kan avsløre mye om dem og deres livssituasjon. For noen vil også informasjon om hvor de handler være noe som de ønsker å beskytte, sier Carl Emil Bull-Berg, juridisk rådgiver i Datatilsynet.

- Tilgang på helseopplysning

På Trumf-kontoen din kan du legge til maks to bankkontonummer, og begge må være tilknyttet et vanlig bankkort- og ikke kredittkort. Det står også at man ikke skal legge til bankkontonummer som ikke tilhører deg, men det kreves ingen verifisering med for eksempel BankID.

Det kan gjøres både i Trumf-appen eller på dine sider på nettsidene til Trumf.

- Jo mer informasjon man får tilgang til, jo mer problematisk vil dette kunne være, sier Bull-Berg.

Også Hans Marius Tessem, seniorrådgiver i Norsk senter for informasjonssikring (NorSIS), mener det er problematisk slik løsningen til Trumf er nå.

- Det er ikke bra i det hele tatt at du ikke må verifisere kontonummer med BankID eller noe annet, sier han, og påpeker:

- Det er jo ingen tvil om at det kan komme fram opplysninger som ikke er heldig. For eksempel vil man jo se om noen har kjøpt en graviditetstest, og da får man tilgang på helseopplysninger.

Det er faktisk også mulig å få opp kvitteringer fra kjøp på Apotek 1 på medlemssidene til Trumf.

Truls Fjeldstad, som har ansvar for Trumf i Norgesgruppen, påpeker imidlertid at produkter i kategoriene «medisinsk forbruksmateriell, reseptfrie legemidler og intimhygiene» blir anonymisert på kvitteringene.

APOTEKHISTORIKK: Det er ikke bare kvitteringer fra dagligvarekjedene du finner i Trumf-appen, du kan også se hva som er kjøpt på Apotek 1. © Leveres av Nettavisen APOTEKHISTORIKK: Det er ikke bare kvitteringer fra dagligvarekjedene du finner i Trumf-appen, du kan også se hva som er kjøpt på Apotek 1.

APOTEKHISTORIKK: Det er ikke bare kvitteringer fra dagligvarekjedene du finner i Trumf-appen, du kan også se hva som er kjøpt på Apotek 1. Foto: Skjermdump Trumf-appen/ Nina Lorvik (Mediehuset Nettavisen)

- Lett å overvåke kjæresten

Selv ville Hans Marius Tessem i NorSIS følt det var krenkende om noen hadde tilgang på den informasjonen om han.

- Å få tak i et kontonummer er veldig enkelt. Det gjør det lett å overvåke for eksempel kjæresten eller barna dine, og det er ikke greit, sier Tessem.

PROBLEMATISK: Hans Marius Tessem i Norsk senter for informasjonssikring mener det burde vært bedre sikkerhet på Trumfs medlemskonto. © Leveres av Nettavisen PROBLEMATISK: Hans Marius Tessem i Norsk senter for informasjonssikring mener det burde vært bedre sikkerhet på Trumfs medlemskonto.

PROBLEMATISK: Hans Marius Tessem i Norsk senter for informasjonssikring mener det burde vært bedre sikkerhet på Trumfs medlemskonto. Foto: Nina Lorvik (Mediehuset Nettavisen)

Om du ikke er Trumf-medlem, er det beste du kan gjøre å følge med når du betaler, så det ikke står «Trumf-registrert». Er du Trumf-medlem derimot, oppfordrer Tessem til å si ifra.

- Når du skjønner potensiale for misbruk, bør du si ifra til leverandøren av tjenesten. Forbrukere bør også stille krav om totrinnsverifisering, og si at de ikke vil bruke tjenesten om det ikke er det. Det er nok raskeste veien til bedre sikkerhet, sier Tessem.

- Ansvaret for at sikkerheten ivaretas ligger likevel hos leverandørene som behandler personopplysninger, påpeker han.

Les også: Store prisforskjeller i matbutikken: Du kan tape flere hundre kroner på å velge feil

Kan få gebyr

Datatilsynet jobber for øyeblikket med å vurdere situasjonen.

- Vi er i dialog med Trumf. Datatilsynet kan for eksempel ilegge overtredelsesgebyr og/eller pålegge den behandlingsansvarlige å sørge for at behandlingsaktivitetene skjer i samsvar med regelverket, dersom vi mener dette er nødvendig, sier han.

Bull-Berg sier imidlertid at det er for tidlig å si noe om det blir aktuelt å benytte denne muligheten i denne saken.

Les også: Ekspert advarer: Lett å bli lurt av dette bildetrikset

Truls Fjeldstad i Trumf sier at det tidligere ikke har vært mulig å verifisere at det er du som eier bankkontonummeret du registrerer på Trumf-kontoen din.

- Registeret over bankkontonummer er det frem til nå kun bankene som har kunnet verifisere mot. Vi har jobbet mye for å få til dette, og i løpet av mai vil vi kreve verifisering med BankID, sier han.

I et par måneder har det vært mulig å kreve verifisering med Vipps, men Norgesgruppen ønsket ikke å kreve at medlemmene skulle bli medlem av Vipps for at bankkontonummer skal kunne verifiseres. De ventet derfor på at løsningen med BankID skulle bli klar.

Fjeldstad sier at de også har vurdert å kreve kortnummer og verifisering av BankID, men holder seg til registrering av kun bankkontonummer.

- Vi anerkjenner at det ikke har vært optimalt slik det har vært til nå, og derfor har vi også satt inn mye ressurser for å endre det, sier han.

Les også: Slik blir du «lurt» til å bruke penger på nett: Dette er nettbutikkenes salgstriks (+)

Misbruk registreres

Fjeldstad sier at de krever at man legger inn en kode man får på SMS når et nytt kontonummer legges til Trumf-kontoen. Dette gjør de for å logge eventuelle regelbrudd.

- Det vil kunne bli oppdaget. Og i tillegg får korteieren opp en melding om at kjøpet er Trumf-registrert hver gang bankkortet tilknyttet kontonummeret benyttes i butikk, sier han.

Slik kan du altså oppdage om kontonummeret ditt er misbrukt eller ikke.

- Kontakter du oss, vil vi ta grep og stoppe koblingen mellom Trumf-kontoen og ditt kort. Samtidig kan vi overføre opptjent bonus til din egen Trumf-konto, sier Fjeldstad.

Fjeldstad påpeker imidlertid at de ikke kjenner til at noen har fått kortet sitt misbrukt. Men de tar sikkerheten på alvor, og i påvente av at BankID-verifiseringen kommer på plass, har de også gjort en ny endring.

- I løpet av denne uken vil teksten du får opp på betalingsterminalen være endret. I tillegg til at det står «Trumf-registrert», vil det nå også stå «Se kvittering», sier han, og forklarer at man også på kvitteringen kan se at et kjøp er Trumf-registrert.

Rema gjorde endringer

Det er ikke bare i Trumf-appen det har vært et sikkerhetshull som dette. I fjor skrev NRK at Remas medlemsapp Æ kunne misbrukes til overvåking.

I likhet med Trumf-appen kunne man i Æ-appen legge inn en annen persons kontonummer. Du kunne få tilgang på kvitteringer som viste når, hvor og hva personen handlet, men etter avsløringen fjernet Rema midlertidig denne muligheten i appen frem til de fant en bedre løsning.

Nå har de gjort endringer for å hindre at dette er mulig.

- Det var ikke gjort over natta, men nå har vi endelig funnet en god løsning sammen med Vipps, som gjør at du må verifisere eierskap til kontonummer i Æ-appen, sier kommunikasjonssjef Calle Hägg til Nettavisen.

Hägg sier at de har et stort ansvar for kundenes sikkerhet og personvern, og derfor tok de dette alvorlig selv om det ikke var avdekket misbruk.

- Nå kan våre kunder igjen nyte godt av kvitteringer og handlehistorikk direkte i appen, uten å være bekymret for personvern, sier han.

For Coop-medlemmer er også sikkerheten og personvernet ivaretatt. For å få rabatt eller opptjene bonus må du skanne medlemskortet ditt, og det er derfor ikke knyttet direkte opp mot et spesielt kort. Du kan imidlertid knytte bankkort opp mot betalingstjenesten Coopay, men da må du verifisere deg med BankID.

Nettavisen korrigerer

I første versjon av denne saken sto det at Hans Marius Tessem, seniorrådgiver i Norsk senter for informasjonssikring (NorSIS), mener sikkerheten i Trumf er for dårlig, og sikter til at tjenesten ikke har totrinnsautorisering. Han siktet både til det å legge til et kontonummer og å logge seg inn på medlemssiden.

Trumf-sjef Truls Fjeldstad opplyser til Nettavisen at tjenesten har totrinnsautorisering/totrinns-bekreftelse:

- Trumf har totrinns bekreftelse ved innlogging, ved bruk av kode på SMS. Man kan velge å bli «husket» en periode fra samme enhet, ellers må du ha ny SMS-kode innen 24 timer. Fra ny enhet må du alltid ha SMS- kode, skriver Fjeldstad i en epost til Nettavisen.

Nettavisen påpeker at det ikke er totrinnsbekreftelse for å sikre at et Trumf-medlem eier kontonumrene man legger til på sin side.

Annonsevalg
Annonsevalg

Mer fra Nettavisen

image beaconimage beaconimage beacon