Personopplysninger fra minst 140.000 nordmenn ble lastet ned av uvedkommende fra nettsidene til fem teleoperatører i sommer.
Dokumenter fra Datatilsynet viser at alle disse operatørene – og flere andre – ble advart om sikkerhetshullene på forhånd. Likevel tok de ikke advarslene til følge. Først etter at personopplysningene var tappet ble nettsidene utbedret.
I tillegg er det kun ett selskap som varslet de rammede privatpersonene om at opplysningene deres var havnet i uvedkommendes hender.
– Fikk ikke til møte
Tele2 ble advart av Datatilsynet allerede 30. november 2006.
I januar sendte Tele2 et svar til Datatilsynet. Fire måneder senere, 16. mai, oppfordret så tilsynet Tele2 til å øke sikkerhetsnivået på nettsidene sine.
– Vi ønsket å avstemme sikkerhetstiltak med Datatilsynet, men fikk dessverre ikke til et møte før sommerferien. Beklageligvis skjedde misbruket av vår nettside i mellomtiden, sier markedsdirektør Christian Sæterhaug.
I løpet av tre dager på slutten av juli ble opplysninger om mellom 50.000 og 60.000 personer hentet ut fra nettsiden til Tele2.
Først da ble sikkerhetsfeilen rettet. Det tok én dag.
Glemte å stenge
Situasjonen er den samme hos de andre teleoperatørene.
Talkmore, som deler eier og ledelse med Telenordic, ble varslet i mai. I midten av juli ble nettsiden tappet for 20.000 personopplysninger. Først etter en uke klarte de å stenge hullet.
Flere uker senere ble søsterselskapet Telenordic tappet for flere tusen personopplysninger. De hadde glemt å stenge det samme sikkerhetshullet som hos søsterselskapet.
– Det er ren sløvhet rett og slett, vi tenkte ikke på at den også sto åpen, sier Pål Barth Nilsen, daglig leder i begge selskapene.
815mobil ble også varslet i mai. Nettsiden ble tappet de siste dagene i juli, og sikkerhetsfeilen utbedret 1. august.
– Vi følte at vi delvis ivaretok de problemene tilsynet påpekte, men i ettertid ser vi at dette ikke var riktig, og vi legger oss flate i forhold til dette, sier daglig leder Michael Irgens.
– Sikkerhet ikke prioritert
Combitel ble først varslet i juli om sikkerhetsproblemene på deres nettside. En måned senere hentet uvedkommende ut opplysninger om 63.000 nordmenn via nettsiden.
– På grunn av ferieavvikling var det ikke mulig for oss å behandle saken, og vi ba om utsettelse på tidsfristen for å svare Datatilsynet, sier administrerende direktør Olav Balandin til nettstedet idg.no.
Datatilsynets direktør, Georg Apenes, er kritisk til teleoperatørenes sikkerhetsløsninger.
– Det er mye raske penger i telemarkedet, da er ikke det første man gjør å sette seg ned og bruke penger på å utrede sikkerheten. Dette må kalles lav prioritering av sikkerheten, sier Apenes.
Han ble selv utsatt for identitetstyveri i sommer. Da hadde noen endret telefonabonnementet hans. Saken er anmeldt.
– Det alvorlige er ikke først og fremst de som har gjort dette, men at selskapene har så dårlig sikkerhet, sier Apenes.
Christian Sæterhaug i Tele2 sier han ikke var kjent med den typen dataprogram som ble brukt for å hente personopplysningene.
Professor Kjell Jørgen Hole, som lenge har advart mot denne muligheten, avviser at slike programmer er nye.
– Dette er ikke et teknologisk problem, det er en logisk kortslutning og dårlig design, sier han.
