Somlet med sikkerhet i tre måneder
16. mai ba Datatilsynet Tele2 skjerpe sikkerheten. Tele2 gjorde ikke annet enn å be om et møte med Datatilsynet - tre måneder senere.
Av Dag Yngve Dahle Publisert: 14.08.2007 kl. 11:53
I juli ble tusenvis av personnumre stjålet via et sikkerhetshull på Tele2s nettsider.
Tok sin tid
Ifølge en orientering fra Tele2 selv kommer det frem at selskapet ikke akkurat stresset med å tette sikkerhetshullet.
Allerede i november i fjor ba Datatilsynet Tele2 komme med en redegjørelse om sikkerheten.
I januar leverte Tele2 redegjørelsen. Datatilsynet hadde det heller ikke travelt med å komme med et svar til Tele2.
Først 16. mai - over fem måneder senere - kom tilbakemeldingen fra Datatilsynet. Da ba tilsynet Tele2 om å bedre sikkerheten.
Tar kritikken
Men i stedet for å tette sikkerhetshullet med en gang, ba Tele2 om et møte med Datatilsynet.
Dette møtet skulle finne sted 16. august - eksakt tre måneder etter at Datatilsynet ba Tele2 om å rydde opp.
Christian Sæterhaug, markedsdirektør i Tele2 Norge, legger seg flat.
- Sett i lys av det som har skjedd må vi ta selvkritikk på at vi ikke gjorde noe allerede i mai. Vi burde ha gjort endringer tidligere, sier Sæterhaug.
Etterforskes
Han sier at de ba om et møte med Datatilsynet fordi de ønsket å være enige med tilsynet om nødvendige tiltak.
- Men hvorfor reagerte dere ikke raskere?
- Vi har hatt denne nettløsningen i lengre tid uten problemer, og før dette spesiallagde programmet ble utviklet har vi ikke opplevd problemer Derfor regnet vi med at det ikke var nødvendig å gjøre noe med en gang. I tillegg ville vi ha med oss de riktige folkene i et møte. Vi ønsket å avklare nye sikkerhetstiltak med Datatilsynet, men så kom ferien og møtet ble utsatt. Men vi burde ha gjort noe med en gang, sier han.
Logger
Tele2 har nå politianmeldt saken, og Kripos etterforsker datainnbruddet. Tele2 loggfører nå all trafikk på egne nettsider.
- Dette er en viktig problemstilling for oss og resten av vår bransje. Vi ser alvorlig på saken. Denne personinformasjonen er på avveie, og vi vet ikke hva som kan skje. Samtidig er det viktig for oss å få frem at vi ikke oppbevarer ID-opplysninger om egne kunder eller andre personer. Personopplysningene som ble stjålet ble hentet fra Folkeregisteret via Tele2s nettsider, sier Sæterhaug.
Slik ble det gjort
- En algoritme generte mulige fødselsnumre basert på fødselsdato.
- Et dataprogram sjekket numrene opp mot Altinns database.
- Dermed fikk svindlerne ut en liste med korrekte fødselsnumre.
- De korrekte fødselsnumrene ble deretter matet inn på Tele2s nettsider gjennom et sikkerhetshull.
- Via en kobling mot selskapet som foretar kredittsjekk for Tele2, ble dataene sjekket opp mot Folkeregisteret.
- Derfra fikk svindlerne ut personnummer og annen personinformasjon.
Få ett års abonnement av Teknisk Ukeblad + 8 GB minnepinne for kun 1440 kr!
