3 på bar bund: Kriminelle kan have fået fat i kunders hemmelige adresser

13. februar 2017 kl. 10:4216
3 på bar bund: Kriminelle kan have fået fat i kunders hemmelige adresser
Illustration: the_lightwriter/Bigstock.
Teleselskabet 3 oplyser, at blandt andet kunders sim-kortnumre og hemmelige adresser kan være blandt de oplysninger, som kriminelle er i besiddelse af.
person
/jm
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.
person
/jm

Den eller de kriminelle, som vil have et millionbeløb fra teleselskabet 3 for ikke at lække opsnappede kundeoplysninger, ligger udover cpr-numre, også inde med blandt sim-kortnumre og i visse tilfælde hemmelige adresser.

Det fremgår af en meddelelse med spørgsmål og svar på 3's hjemmeside.

»Navn, adresse, cpr-nummer, e-mail, telefonnummer, sim-kortnummer, abonnement og betalingsmetode. Der er efter vores vurdering ikke tale om bankoplysninger,« fremgår det blandt andet af siden.

Og nogle af postadresserne kan altså være hemmelige, fremgår det lidt længere nede på siden. Det samme kan telefonnumre, fremgår det.

Artiklen fortsætter efter annoncen

»Oplysninger om hemmeligt telefonnummer og hemmelig adresse kan være blandt de oplysninger, de kriminelle er i besiddelse af. Hvis oplysningerne offentliggøres, vil disse således ikke længere være hemmelige i samme omfang som hidtil. For så vidt angår hemmeligt telefonnummer kan vi være behjælpelig med at udskifte dette.«

Teleselskabet oplyser desuden, at kriminelle har forsøgt at afpresse 3 for ikke nærmere angivet millionbeløb i forhold til ikke at offentliggøre kundedata for omkringer 3.600 kunder. Pengene har 3 ikke tænkt sig at betale, teleselskabet har i stedet anmeldt sagen til politiet.

Kender ikke årsag

På spørgsmålet, som 3 altså selv har stillet, om, hvorvidt selskabet har været udsat for et hackerangreb, lyder det ikke videre konkrete svar:

»Politiet vurderer, at vi er blevet kontaktet af nogen, der er kommet ulovligt i besiddelse af kundeoplysninger fra vores kundebase. Hvordan de er kommet i besiddelse af de oplysninger, vil vi overlade til politiets efterforskning.«

Artiklen fortsætter efter annoncen

Jobs

Dine job
Vis alle

3 oplyser desuden, at det er uvist, hvor oplysningerne stammer fra.

»Vi håndterer oplysninger om ca. 1,2 mio. kunder, så sikkerhed er højeste prioritet for os. Vi ved på nuværende tidspunkt ikke, hvordan den eller de kriminelle er kommet i besiddelse af oplysningerne. Nu ligger sagen hos politiet, og vi er sikre på, at de nok skal komme til bunds i sagen.«

Emner
16 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Køb abonnementFå prøveabonnement

Jobs

Dine job
Vis alle

Fortsæt din læsning

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
16
Mathias Børme
15. februar 2017 kl. 18:42

Mette du har fuldstændig ret.

Det er præcis sådan jeg har det lige nu, jeg er en af de kunder som er berørt af "hacket" eller hvad man skal kalde det.

Jeg savner godt nok noget information, detaljer, bare et eller andet og ikke bare en undskyld mit udtryk, "latterlig E-mail" de undskylder, og hvis man har flere spørgsmål kunne man ringe til deres kundeservice Det gjorde jeg. Han vidste mindre end det der stod i mailen. Jeg sidder tilbage, Det er mine informationer der er blevet stjålet.

Jeg føler de er ret ligeglade med kunderne, og at det eneste de tænker på er at minimere skaden på deres "Brand" Jeg ville gerne have haft lidt vejledning og snakke med en som rent faktisk vidste noget. så jeg kunne få nogen detaljer.

deres håndtering af de berørte kunder er

  • more_vert
    • insert_linkKopier link
15
Mette Nikander
15. februar 2017 kl. 17:40

Ja Hoder, jeg undrer mig også over, at man vil afvente Politiets efterforskning, som kan trække længe ud og iøvrigt kun vil fokusere på, at der kan sikres beviser til anklagemyndigheden. Med andre ord efterlades kunder og samarbejdspartnere med indtrykket af at der i mellemtiden, formentlig fortsat er stor risiko for flere datalæk og at der tilsyneladende ikke er foretaget et Security assessment og en hurtigt aflukning af de mest oplagte risici.. Det undrer det mig, at 3 ikke er gået i medierne med en information om, at der også foretages sikkerhedstiltag parallelt med Politiets arbejde. Det ville så afgjort skabe større tryghed blandt kunderne. Jeg kan iøvrigt anbefale 3 at kontakte PET, der holder foredrag og øvelser i virksomheder om hvordan organisationer bør håndtere bl.a. den slags kriser overfor presse, kunder og samarbejdspartnere.

  • more_vert
    • insert_linkKopier link
14
Mathias Børme
14. februar 2017 kl. 20:38

Ja Jeg er desværre 1 af de kunder som er Blevet berørt af det her Hack.

Og den måde jeg fik at vide at mine Personlige Oplysninger var blevet Stjålet. og nu var i Hænderne på kriminelle var en E-mail som kom fra deres Nyhedsbrevs adresse. Som selvfølgelig røg i Spamfolderen. Og Man får Ingen ting at vide, Jeg har skrevet til Dem at jeg holder dem Ansvarlig for misbrug af mine oplysninger. Hvis der sker noget med Retslige omkostninger Evt Arbejdsomkostninger til at Udbedre Skade.

  • more_vert
    • insert_linkKopier link
13
Christian Nobel
14. februar 2017 kl. 10:23

CPR info er nu kritisk nok, da fødselsdato/cpr bruges en del steder som identifikation
Heldigvis betyder anvendelsen af 2-faktor login i form af Nemid at stort set alt kritisk information fortsat er beskyttet .

Problemet er jo bare at mange steder bruges CPR jo også (og det er her det går helt galt) til authentifikation, idet man benytter de sidste fire cifre som nøgle.

Så det er såmænd ikke et spørgsmål om hvorvidt folk bruger det såkaldte "NemID" til login eller ej, men der hvor alle mulige andre kritikløst opretter aftaler mv., udelukkende baseret på et CPR nummer.

  • more_vert
    • insert_linkKopier link
11
Kim Hjortholm
14. februar 2017 kl. 08:58

CPR info er nu kritisk nok, da fødselsdato/cpr bruges en del steder som identifikation Heldigvis betyder anvendelsen af 2-faktor login i form af Nemid at stort set alt kritisk information fortsat er beskyttet .

  • more_vert
    • insert_linkKopier link
10
Thomas Graungaard
14. februar 2017 kl. 00:51

Jeg havde samme tanke, Hoder Jensen. 3 lader ikke til at have nogen ide om hvordan det er sket, og har ingen planer om selv at efterforske dette. I stedet sætter de deres lid til at politiet opklarer, ikke bare hvem der står bag, men hvor 3 har fejlet.

  • more_vert
    • insert_linkKopier link
9
Jan Gronemann
13. februar 2017 kl. 13:45

Hvad kan forurettede kunder forvente at 3 bliver stillet til ansvar for, og hvad har 3 af planer om erstatning?

Ninja edit:

Fra 3's hjemmeside:

Bliver jeg kompenseret for, at mine oplysninger er faldet i de forkerte hænder?

Nej,det gør du ikke.

Hvorfor ikke?

Vi har ikke planer om at kompensere, men vi er klar med et team af dedikerede medarbejdere og ekstra ressourcer i vores Kundeservice, som kan hjælpe dig med at skifte telefonnummer og simkortnummer m.v.

Og toppe af kransekagen:

Jeg har hemmeligt nummer/hemmelig adresse. Er de kriminelle kommet i besiddelse af disse oplysninger?

Oplysninger om hemmeligt telefonnummer og hemmelig adresse kan være blandt de oplysninger, de kriminelle er i besiddelse af. Hvis oplysningerne offentliggøres, vil disse således ikke længere være hemmelige i samme omfang som hidtil. For så vidt angår hemmeligt telefonnummer kan vi være behjælpelig med at udskifte dette.

Kære 3, det der er en stor gang lort på jeres kunders ansigter! HVORDAN FANDEN KAN I VÆRE SÅ SLØSEDE MED IKKE BARE KUNDEDATA, MEN NAVNEBESKYTTEDES OPLYSNINGER?!

  • more_vert
    • insert_linkKopier link
8
Morten R.
13. februar 2017 kl. 12:19

Jeg kan godt lide mediernes dækning af sagen. De nævner alle de har fået adgang til navn, adresse og CPR, men heldigvis ikke betalings oplysninger, for med dem så kunne hackerne virkelig lave problemer. Det viser hvor skidt det står til med CPR systemet, når bankoplysninger vægtes højere...

  • more_vert
    • insert_linkKopier link
7
Anne-Marie Krogsbøll
13. februar 2017 kl. 11:35

Måske er de 3600 en smagsprøve, som de kriminelle har sendt til 3 for at dokumentere, at de har adgang til oplysningerne? Så kan man jo indtil videre hævde, at det er det antal, det handler om.

  • more_vert
    • insert_linkKopier link
6
Peter Jensen
13. februar 2017 kl. 11:33

Ja. Især når 3 skriver at de ikke ved hvordan de kriminelle har fået fat i oplysningerne.

Hvis de ikke ved hvordan oplysningerne er fremskaffet, så er det uvederhæftigt at hævde noget som helst om hvor mange og/eller hvilke oplysninger som er lænset ud af deres systemer.

Det lugter mere af en spindoktors forsøg på at nedtone og afdramatisere sagen.

  • more_vert
    • insert_linkKopier link
5
Michael Christensen
13. februar 2017 kl. 11:25

GDPR vil ikke rykke noget i sig selv. Det er blot en motivator, der vil give firmaerne et kærligt klap på kinden - med et baseball bat. Hvis de ikke strammer op på sikkerheden, så risikerer de at bryde principperne - og få en bøde på 4% af omsætningen.

Det ændrer ikke på, at mange firmaer skal stramme op på informationsikkerheden, og at de piber nu, er blot et udslag af, at fortidens synder har indhentet dem.

  • more_vert
    • insert_linkKopier link
4
Peter D Hansen
13. februar 2017 kl. 11:18

Enig i at politikerne er alt for overvågnings-ivrige. Men det er ikke årsagen til problemet her. Teleselskaberne startede med at kræve CPR længe før politikerne blev overvågnings-ivrige.

Problemet er derimod at en rystende svag Forbrugerombudsmand har tilladt teleselskaberne at kræve CPR, selv om de i årevis tidligere har fungeret fint uden. Ja, der er kreditrisici, men sjovt nok kørte mange teleselskaber fint, før de begyndte at kræve CPR.

Her notatet fra den svage Forbrugerombudsmand, der desværre hjælper teleselskaberne med at høste CPR:

https://www.forbrugerombudsmanden.dk/~/media/Forbrugerombudsmanden/loveregler/Notat%20om%20CPR%20nummer.pdf

  • more_vert
    • insert_linkKopier link
3
Denny Christensen
13. februar 2017 kl. 11:07

Den gamle traver...

Egentlig har et teleselskab kun brug for et kredit kort, så er de dækket ind med hensyn til at sikre betalinger fra kunderne.

CPR er så noget vores overvågningsliderlige politikere har indført.

At 3, og andre, dækker vores færden med mobilen tændt giver mening i den forstand at de som andre indsamler alverdens data i en stor pulje, eller skidtbunke om man vil, i håb om at kunne bruge eller sælge disse data fremover.

Jeg hører mange sige at GDPR vil frelse os, at vi igennem den forordning kan slippe for alverdens lagring af oplysninger, men det vil jeg lige se gennemført plus se de få selskaber der ikke blot kræver heftig samtykke for at du kan få lov at være kunde hos dem.

Om der er lækket 3 kunders informationer eller alle 1.2 milles informationer er principielt underordnet, det er stadig skidt.

  • more_vert
    • insert_linkKopier link
2
Hoder Jensen
13. februar 2017 kl. 11:05

De prioriterer sikkerhed højt, men afventer politiets efterforskning. Hvis sikkerhed var højeste prioritet, var der tilknyttet et eksternt sikkerhedsfirma for at klarlægge hvor deres sårbarheder ligger.

  • more_vert
    • insert_linkKopier link
1
Peter D Hansen
13. februar 2017 kl. 11:02

Hvorfra ved 3 egentlig at 3's utilstrækkelige sikkerhed "kun" er gået ud over 3.600 kunder og ikke alle 1,2 millioner?

  • more_vert
    • insert_linkKopier link