I januar 2017 lanserte Rema 1000 appen «Æ» med brask og bram. Ved å vise frem app-en, får du rabatt når du handler.

1,5 millioner bruker app-en i dag.

Men - hvis du legger inn en annen persons kontonummer, kan du se når, hvor og hva personen handler, ifølge NRK.

Les også: Test av matvarepriser: Vinner dessertkampen - én av konkurrentene henger etter

- Ingen grunn til at han skulle vite det

Programvare-konsulent Cecilie Wian sier at hun tilfeldig oppdaget denne svakhet med app-en.

– Jeg hadde handlet på butikken, og etter at jeg kom hjem, spurte ektefellen min om noen av varene jeg hadde handlet. Jeg ble overrasket, for han hadde ingen grunn til å vite hva jeg hadde kjøpt, forteller Wian til NRK.

Les også: Datatilsynet vil granske Remas Æ-app

Wian mener systemet er sårbart fordi alt man trenger er å vite kontonummeret til en fremmed person, som ikke allerede er registrert i app-en.

LES også: Rema går i strupen på Coop Medlem og Trumf med Æ

Rema: - Bruk ditt kontonummer

Æ-sjef i Rema, Øistein Burøy Olsen, bekrefter at de fikk et varsel fra Wian for fem måneder siden.

– Vi har sett på løsningen vi har i dag, og lagt inn en melding i vilkårene i appen som sier at kontonummer og kortnummer skal være ditt eget, sier Olsen til NRK.

Datatilsynet har ikke behandlet saken ferdig ennå.

Les også: Rema innfører ti prosent rabatt på utvalgte varer