Gå til sidens hovedinnhold

Slik ble 120.000 frastjålet sin id

Teleselskapene tapte millioner. Nå etterforsker Kripos skandalen.

Dette er historien om hvordan kombinasjonen av dårlig holdning til behandling av personopplysninger hos enkelte norske teleoperatører, dårlig internkommunikasjon, mangel på rutiner, tregt byråkrati og en slapp sommerferie førte til at svært sensitive personopplysninger om rundt 120.000 nordmenn har kommet på avveie.

Dette er også historien som viser at en økonomisk smell i millionklassen betyr mye mer enn advarsler og pålegg fra tilsynsmyndigheter.

Bakgrunnen for tyveriene
I sommer ble forskningsartikkelen «Identity theft: Much too easy? A study of online systems in Norway» fra Universitetet i Bergen publisert. Den tok for seg hvor enkelt det var å utnytte svakheter ved designet på norske bedrifter hjemmesider til å stjele sensitive personopplysninger. Det ble blant annet brukt navngitte eksempler fra det norske telemarkedet. Artikkelen er senere revidert.

Artikkelen fikk i første omgang omtale på Aftenpostens nettsider 19. juli, noe som skapte svært aktiv debatt i visse datakyndige miljøer på nettet.

Liten vilje til handling provoserte
Debatten blir ikke mindre av at daglig leder Pål Barth Nilsen i Talkmore dagen etter sto fram i avisen. Det som da provoserte mange er at han synes sine egne nettsider har for dårlig sikring og at han synes dette er beklagelig, men at de har for dårlig kompetanse og fokus.

28. og 29. juli i år benyttet ukjente personer seg av spesiallaget programvare som kunne generere personnummer som var i bruk ved hjelp av kjente algoritmer og statens AltInn-tjeneste. Numrene ble så benyttet til å hente ut navn, adresse og kredittverdigheten til rundt 60.000 nordmenn gjennom Tele2s hjemmesider.

Flere aktører utsatt
Like etterpå kom det frem at flere norske teleoperatører hadde lignende tjenester på sine hjemmesider som også hadde blitt utnyttet, blant annet Combitel og Talkmore, men også andre mindre aktører.

Totalt skal sensitiv informasjon, inkludert kredittverdighet, om over 120.000 personer ha havnet i gale hender.

Ble advart en rekke ganger
Nå viser det seg at store deler av skandalen kunne vært unngått. Flere av selskapene ble advart for første gang allerede i november 2006 av Datatilsynet om potensielle svakheter i deres behandling av personopplysninger.

Tilsynet hadde til og med fattet eksplisitte vedtak som Combitel måtte følge opp, men som selskapet selv sier de ikke rakk å følge opp før det var for sent på grunn av ferieavviklingen.

Fikk se eksempler i god tid
Nå viser det seg også at flere av selskapene har fått tilsendt programmer fra datakyndige personer i forkant som har kunnet tappe nettstedene for informasjon. Programmene ble sendt til selskapene for at de skulle se problematikken og endre sine nettsider.

Nettavisen kjenner blant annet til at både Talkmore og Datatilsynet i midten av juli fikk tilsendt e-post fra flere hold som inneholdt et dataprogram som kunne generere personnummer og tappe personopplysninger fra Talkmores hjemmesider.

Enkelt å utføre
Nettavisen har sett et av disse programmene, som viser med all tydelighet hvor enkelt dette var å konstruere.

Nettavisen vet også at det i en periode nærmest gikk sport i å skrive de mest effektive programmene for å tappe forskjellige teleoperatørers hjemmesider for informasjon.

To dager etter å ha mottatt en slik advarsel svarte Talkmore på en av disse meldingene med at de var klar over problemene på sine sider, og at de var i ferd med å gjøre endringer.

Samme dag svarer også Datatilsynet at de er klar over problematikken og at de jobber aktivt med problemet. De skriver også at de er klar over hvor enkelt det er å lage programvare som kan «innhøste slike opplysninger».

«Det gikk jo sport i å skrive de mest effektive programmene.»

- Involvert part i saken

Norske nettmiljøet reagerte
Knapt en uke senere viser det seg klart og tydelig at det norske nettmiljøet har ikke vil la norske bedrifter bruke tid på å forbedre sine svake nettsider.

Det begynner å sirkulere flere programmer på nett som automatiserer innhenting av personopplysninger fra en rekke norske mobiloperatører, og noen blir sendt inn til operatører og Datatilsynet.

I tillegg settes det opp nettsider som strømlinjeformer prosessen for å samle informasjonen manuelt uten å benytte noen automatiske metoder.

Offentliggjøring ga fortgang
30. juli ble problematikken offentliggjort med massiv pressedekning, og Tele2 hev seg rundt og endret nettsidene sine på dagen. De andre teleselskapene involvert gjør det samme. Prosessen med å endre nettsiden ble åpenbart betydelig enklere etter at regningen fra kredittopplysningsfirmaene med ett så ut til å bli svært høy.

Samme dag skriver Dagbladet.no at informasjonsdirektør Ove Skåra i Datatilsynet ikke visste at det fantes programvare på internett som kunne gjøre dette. Dette reagerer en av personen som har sendt et slikt program til Datatilsynet kraftig på.

Les mer reaksjoner fra Datatilsynet om saken her.

Svakhetene kostet millioner
Talkmore utleverte informasjon om i underkant av 20.000 personer før de klarte å sperre funksjonen fra sine nettsider. Dette viser seg å ikke bare være en katastrofe for personene som har fått blottlagt sensitiv informasjon om seg selv, men også selskapene selv.

Informasjon Nettavisen har viser at prisen på innhenting av disse kredittopplysningene normalt være rundt 55 kroner for et lite selskap. Store variasjoner eksisterer når det gjelder avtaler og rabatter, men 55 kroner er neppe veldig langt fra sannheten.

Det betyr at Talkmore har måtte betale over 1 millioner kroner ved å ikke ta advarslene fra Datatilsynet på alvor, og ikke minst ved å ikke reagere på programmet som de fikk tilsendt. De små teleaktørene i bransjen tjener i utgangspunktet veldig lite penger på grunn av det store prispresset i markedet.

Combitel hadde en enda større lekkasje. De har kredittsjekket 63.000 personer, og med mindre de har hatt en eksepsjonelt god avtale har dette kostet dem over tre millioner kroner.

Tele2 på sin side lakk ut rundt 36.000 personnummer, men på grunn av sin størrelse har de trolig hatt en relativt god avtale med Lindorff, og har etter all sannsynlighet betalt under 50 kroner per sjekk. Selskapene vil ikke si noe om sine spesifikke avtaler.

- Jeg er litt lei saken
Da Nettavisen kontaktet daglig leder Pål Barth Nilsen i Talkmore skinte det klart gjennom at dette har vært en dyr affære for selskapet.

- Jeg begynner å bli litt lei av denne saken nå. Jeg skjønner at den har samfunnsmessig interesse, men artiklene som er skrevet så langt vinkler nesten på at teleselskapene har tjent seg rike på å ha dårlig sikkerhet. Det stemmer ikke. Vi har tapt penger på det som har skjedd, forteller Barth Nilsen.

- Systemene har fungert på denne måten i lang tid, og årsaken til at dette skjer nå er fordi at teknologien har kommet lenger, mener han.

- De tekniske løsningene for å gjøre dette har da eksistert i mange år?

- Jo, det har sikkert vært mulig i mange år, men det er ingen som har gjort noe slik før nå. Vi er et bitte lite selskap som ikke kan følge med på alle trender, sier han.

- Så det er kundenes problem at dere er et lite selskap som ikke kan ta sikkerheten rundt personopplysninger på alvor?

- Det er ikke det jeg sier. Dette har hele bransjen gjort i lang tid, mener Barth Nilsen.

Kjenner ikke til advarslene
På spørsmål om hvorfor ikke selskapet reagerte tidligere på advarslene fra Datatilsynet forteller Barth Nilsen at de hadde begynt på denne jobben, men at de har et svært innfløkt nettbasert system. Alle deres kunder styrer sitt eget abonnement på nett selv. I tillegg var de i en fusjonsprosess der to databasesystemer skulle slås sammen, noe som var en omfattende prosess.

Når det kommer til advarselen fra brukeren var dette helt ny informasjon for den daglige lederen.

- Mailen kjenner jeg ikke til. Man kan ikke forvente at noen på kundesenteret ser denne helheten og sender det videre, sier han.

- Men må man ikke forvente at personene på kundesenteret videresender slik kritisk informasjon til rette personer?

- Det er ikke nødvendigvis sikkert at kundesenteret ser alvorligheten i det fordi man ikke forstår hele omfanget, mener Barth Nilsen.

Rutinene er kraftig forbedret
I etterkant av skandalen har Talkmore, i likhet med resten av telebransjen, kraftig forbedret rutinene.

Barth Nilsen bekrefter overfor Nettavisen at det i all hovedsak var én aktør som hentet ut personopplysningene fra nesten alle de 20.000 personene, at Telenor skal vite hvem denne personen er og at saken naturligvis er anmeldt.

- Frykter dere å bli anmeldt selv?

- Det har vi ikke tatt stilling til. Men jeg lever ikke trygt i denne situasjonen, avslutter Barth Nilsen.

Samtidig gir Barth Nilsen Post- og teletilsynet noe av skylden for at denne saken rammet teleaktører så hardt:

- Post og teletilsynet (PT) har pålagt teleaktørene å bedrive nummerportering bare på basis av personnummer, sier Barth Nilsen.

PT tar ingen skyld
Det stemmer at Post- og teletilsynet har lagt inn krav om bedre identifisering av mobilbrukere de siste årene, etter at det for en tid tilbake var mye oppstyr rundt registrering av norske mobilnummer i falske navn, men overfor Nettavisen avviser Post- og teletilsynets underdirektør Arne Litlere at PT har noen skyld i dette.

- Det må være en misforståelse. Det må skje en ensidig identifisering når du lager et abonnement, men har ingenting med portering å gjøre, og denne identifisering kan gjøres på mange måter. Vi har ikke stilt noe krav om at det skal brukes personnummer. Man kan vise legitimasjon eller bruke andre metoder, forteller Litlere.

Tele2 kan også ha blitt advart
Overfor Nettavisen forteller markedsdirektør Christian Sæterhaug i Tele2 muligens også kan ha blitt advart om spesifikk programvare før opplysninger ble tappet, men at opplysningene ikke har blitt sendt videre fra kundeservice.

- Jeg har lest blogginnlegg i etterkant som hevder at Tele2 ble informert, forteller Sæterhaug, forteller Sæterhaug.

Da vi spør om hvorfor ikke Tele2 tok saken på alvor da de ble advart i november i fjor, er han klar i sin sak:

Treg dialog med Datatilsynet
- Datatilsynet advarte oss ikke, men ba om en redegjørelse for sikkerheten på våre nettsider i november. Denne redegjørelsen fikk de i januar. I mai fikk vi en tilbakemelding om oppfordring om å endre sikkerhetsnivået, forteller Sæterhaug.

I brevet Tele2 sendte til Datatilsynet 4. januar går det klart frem at de ikke er utpreget bekymret for sin nåværende løsning:

«Tele 2 er videre usikker på hva Datatilsynet sikter til når det antydes at informasjon om personer blir lettere tilgjengelig for andre, ved bruk av fødselsnummer sett opp mot annen entydig registrering av sluttbrukere.»

Datatilsynet fastholdt likevel på sin side at noe måtte gjøres da de sendte svar 21. mai.

- Før vi gjorde noen av de endringene vi hadde på blokka, ville vi konsultere med Datatilsynet. Vi fikk ikke til et møte med dem før i august, og innen den tid ble da nettsiden utnyttet, sier Sæterhaug.

Skjedde det enda et lovbrudd?
Norsk lov krever at når et kredittopplysningsselskap foretar et oppslag på kredittopplysninger, så skal det sendes ut et brev til personen som har blitt sjekket med hvilke opplysninger som er utlevert og hvem som har fått opplysningene.

Tele2 mente på sin side at det ikke var gjennomført en skikkelig kredittsjekk, og stoppet utsendelsen av disse gjenpartsbrevene. I stedet sendte de ut et kort informasjonsbrev om at de var utsatt for hackere og at kredittopplysninger var gjennomført.

I brevet fremkommer det ikke hvilke opplysninger som er hentet ut, og mange har reagert på at dette må være brudd på norsk lov.

Leif T. Aanensen, leder for tilsyn- og sikkerhetsavdelingen i Datatilsynet, forteller til Nettavisen at Tele2 var i kontakt med tilsynet om dette brevet. Han forteller at Datatilsynet hadde gitt Tele2 tillatelse til å holde tilbake dette gjenpartsbrevet frem til de kunne sende ut et informasjonsbrev samtidig.

- Dette tillot vi fordi folk ikke skulle få panikk over at noen hadde gjennomført en kredittsjekk uten at de visste hvorfor, forteller Aanensen.

Brevet fra Tele2 ble godkjent av Datatilsynet.

- Hvorvidt de også skulle gi opplysninger om hvilke data som ble hentet ut, gitt den litt spesielle situasjonen, er litt uklart. Opplysningene ble jo av naturlige grunner ikke benyttet som grunnlag for videre saksbehandling i virksomheten, forteller Aanensen.

Saken er under etterforskning
I utgangspunktet er det personene som sto for innsamlingen av personopplysningene som ble anmeldt. Politiadvokat Eirik Trønnes Hansen i Kripos bekrefter overfor Nettavisen at saken er under etterforskning, men vil ikke si noe om hvor saken står i dag. Kripos har tidligere bekreftet at det er gjort ransakinger og beslag i forbindelse med denne saken.

Kripos avviser ikke at de også vil etterforske teleselskapene i denne saken for sin behandling av personopplysninger.

- Mulighetene er til stede. Det kan være et tema for det videre arbeid. Men hvis noen selskaper skulle bli satt under etterforskning så vil vi at de skal få vite det gjennom politiet, og ikke gjennom media eller nettet, sier politiadvokat Eirik Trønnes Hansen.

Les mer om Datatilsynets syn på flere av aspektene av denne saken her.

Reklame

Pørni slår alle rekorder - her ser du serien gratis

Kommentarer til denne saken