I januar 2017 lanserte Rema 1000 appen «Æ» med brask og bram. Ved å vise frem app-en, får du rabatt når du handler.
1,5 millioner bruker app-en i dag.
Men - hvis du legger inn en annen persons kontonummer, kan du se når, hvor og hva personen handler, ifølge NRK.
Les også: Test av matvarepriser: Vinner dessertkampen - én av konkurrentene henger etter
- Ingen grunn til at han skulle vite det
Programvare-konsulent Cecilie Wian sier at hun tilfeldig oppdaget denne svakhet med app-en.
– Jeg hadde handlet på butikken, og etter at jeg kom hjem, spurte ektefellen min om noen av varene jeg hadde handlet. Jeg ble overrasket, for han hadde ingen grunn til å vite hva jeg hadde kjøpt, forteller Wian til NRK.
Les også: Datatilsynet vil granske Remas Æ-app
Wian mener systemet er sårbart fordi alt man trenger er å vite kontonummeret til en fremmed person, som ikke allerede er registrert i app-en.
LES også: Rema går i strupen på Coop Medlem og Trumf med Æ
Rema: - Bruk ditt kontonummer
Æ-sjef i Rema, Øistein Burøy Olsen, bekrefter at de fikk et varsel fra Wian for fem måneder siden.
– Vi har sett på løsningen vi har i dag, og lagt inn en melding i vilkårene i appen som sier at kontonummer og kortnummer skal være ditt eget, sier Olsen til NRK.
Datatilsynet har ikke behandlet saken ferdig ennå.
Les også: Rema innfører ti prosent rabatt på utvalgte varer