Tele2 og sannheta.

Written by vidarlo on 20070819 in Norsk and privacy and rants with 6 comments.

IdentitetSom ein del har fått med seg så har jo Tele2 hatt mindre problem med sikkerheta i det siste. For dei har ikkje bare gitt ut persondata, dei har også kjørt kredittsjekk på alle dei 60000 som vart køyrt gjennom systemet sitt.

I staden for å sende ut en kopi av kredittinformasjonen (slik dei er lovpålagt å gjere) har dei sendt et skremme-brev! Skittent gjort, spesielt når brevet er stappa med løgner.

Tele2 Norge AS sin nettside ble utsatt for misbruk i perioden 28.-30. juli i år. Dette innebærer at en kredittsjekk av deg og andre urettmessig ble gjennomført via Tele2s nettside. Vi beklager dette på det sterkeste.

Vel og merke fekk aldri misbrukeren tilgang til kredittopplysningane. Det var det kun Tele2 som fekk. Og at dei har designa systema sine så elendig at slikt faktisk er mogeleg gjer at dei får veldig stor del av skulda i mine auge. Faktisk vil eg gå så langt som til å sei at dei har handla aktlaust.

Et spesiallaget dataprogram fremskaffet gyldige personnummer ved hjelp av en offentlig nettside. Disse ble videre benyttet til å gjennomføre en kredittsjekk av deg og andre via Tele2s nettside. I henhold til Tele2s kriterier for kredittvurdering fikk ditt personnummer ikke godkjent kredittvurdering. Dette betyr at ingen personopplysninger, som for eksempel navn, adresse, ligning eller eventuelle betalingsanmerknkinger, ble eksponert. Normalt genererer kredittsjekken et brev med kredittinformasjon, men dette ble stoppet av Tele2 og erstattet med brevet du nå leser.

Uthevingane i teksten er mine. Kvifor i alle dager har dei laga eit system som kan lekke ut ligning og betalingsanmerkninger, samt komplett gateadresse o.l. berre ein taster inn fødselsnummer? Fødselsnummer er jo ikkje hemmelige, og som regel er det rimelig lett å få tak i dei. Med andre ord ekstremt dårlig måte å autentisere folk på!

Tele2 ser svært alvorlig på denne hendelsen og har gjort følgende tiltak:

  1. Forholdet er anmeldt til Politiet
  2. Nettsiden ble umiddelbart endret slik at denne typen misbruk ikke forekommer igjen
  3. Ytterligere sikkerhetstiltak utarbeides med utgangspunkt i samtaler med Datatilsynet
  4. Alle berørte personer blir varslet av Tele2

Jippi. Dei har anmeldt seg sjølv ogsÃ¥ hÃ¥per eg, for dei har opptrÃ¥dt rimelig grovt aktløyst i denne saka. Men nei, dei har vel berre anmeldt dei stygge hackerene, nÃ¥r vedkommande som laga programmet neppe gjorde noko ulovleg…

Eg finn det også for godt å påpeike at Datatilsynet gjorde Tele2 merksame på problemet i november 2006. Når saka så dukka opp i media var det brått gjort på timar å endre systemet til eit betre og sikrare. Det tyder på at dei ignorerer personvernet, og går etter økonomiske incentiv. For når saka vart kjent i media så fekk dei storm mot sine servere, måtte betale for kredittsjekker, og fekk negativ reklame. Totalt vil eg tippe det har kosta Tele2 i størrelsesorden 300000-600000 i reine utgifter til kredittsjekk o.l.

Tele2 loggfører all trafikk på våre nettsider og kan på denne måten identifisere de personer som urettmessig har gjennomført kredittsjekken. Politiet avgjør videre etterforskning av saken

Ok. Har Tele2 tillatelse frå Datatilsynet til å kople IP-adresser mot namn? Nei. Det har dei nok ikkje. Med andre ord veit dei kva IP som har besøkt dei, men ikkje navn eller noko meir om vedkommande. Og politiet bryr seg neppe med å straffeforfølge alle dei tusener som har prøvd programmet. Altså: ingen vil bli straffa.

Du kan lese om informasjonssikkerhet på www.datatilsynet.no.

Tele2 beklager det inntrufne.

Takk i helvete ja. Tele2 gidd ikkje ein gong sette opp ei eiga nettside for dei som er redde, men lemper byrda over på Datatilsynet? Det samme Datatilsynet som de ignorerte i november 2006. Kvifor skal Datatilsynet få drittjobben med å rydde opp etter Tele2 sin råtne oppførsel?

Det er synd. Tele2 burde vore straffa for dette. Det er dei som har laga eit dårleg system. Det er dei som har laga eit system som tillater kredittsjekk på så tynt grunnlag. Det er Tele2 som er skurken. Den som laga programmet sette eit viktig problem på dagsorden.

6 Responses to “Tele2 og sannheta.

  1. Det virker nesten som om du er overrasket når du skriver dette. Tele2 har vel aldri vært kjent for å ta ansvar for noe i hele sin eksistens.

    Alt slikt til side, bra at du tar dette opp og ikke minst gir fornuftige kommentarer, det kan jo være at noen leser dette før de velger Tele2 som leverandør av tjenester …

  2. Do you want som cheese with that whine?
    La oss begynne nederst og jobbe oss oppover.

    Du har helt rett i at tele2 ikke har tillatelse til å koble ipadresser med navn. Det er nok derfor de har annmeldt det til politiet som faktisk har disse rettighetene, og ikke nok med det. Har hørt rykter om at politiet faktisk driver med etterforsking av kriminalsaker (*gisp*)

    Hvorfor skal tele2 sette opp en webside når de a) har sendt ut dette bredet og b) det allerede finnes en slik webside.

    “Kvifor i alle dager har dei laga eit system som kan lekke ut ligning og betalingsanmerkninger” de har da skrevet at dette ikke kom ut?

    Ja, hackerne skal anmeldes, de HAR gjort noe ulovlig, da ville det være teit å annmelde noen andre ville det ikke?

    Kjipt av deg å gå ut mot Tele2 når det er minst 5-6 andre selskaper med akkurat samme problem.

  3. @André: Du sier det er kjipt at Vidar har anmeldt Tele2, hvorfor det? En plass må man jo begynne. Om man skal anmelde de 5-6 andre selskapene er dog et godt spørsmål, men det får man egentlig overlate til Vidar evt andre. Dersom politiet *faktisk* etterforsker saken kan de også ta ut tiltale mot de involverte parter, altså de 5-6 andre selskapene.

    Jeg regner med at årsaken til anmeldelsen ligger i det faktum at de for nesten et år siden ble gjort klar over dette av Datatilsynet og dermed fortjener en smekk, i og med at de ikke har fått ut fingeren(tm)!

  4. Kent Vegard: Helt enig i at politiet kan og bør gÃ¥ etter selskapene ogsÃ¥, men man mÃ¥ ikke fremstille “hackerne” som uskyldige personer her.

  5. @André: NÃ¥ nevnte jeg ikke “hackerene” med viten og vilje. Det som høyst sannsynlig kommer til Ã¥ skje er at politiet vil finne disse navnene, notere dem ned, mens de henlegger saken mot Tele2 med venner.

  6. Vedkommande som laga programmet gjorde ingen ting ulovleg. Dei som henta ut personnummer gjorde mest truleg ingenting ulovleg. Det blir først ulovleg når dei prøver å utnytte informasjonen dei har skaffa.

    Og tele2 _er_ syndebukken. Personopplysningslova er rimelig klar på at opplysningshandsamar _ER_ ansvarleg for sikkerheta.