Hovsa: Teleselskab deler kunders private sms-beskeder med politiet

Illustration: YummyBuum | Bigstock
Der er, så vidt vides, kun tale om et enkelt selskab, der har lækket sms'er.

Politiet har uberettiget fået adgang til tilfældige danskeres sms-korrespondancer via datatræk fra et teleselskab. Det skriver Jyllands Posten.

Læs også: Case study: Når betalingerne afvises

Konkret er der tale om sms-indhold fra intetanende danskere, der stik imod reglerne er blevet udleveret fra et teleselskab til politiet.

Oplysningerne er blevet udleveret i forbindelse med, at politiet har indhentet signaleringsdata, der bl.a. kan bruges til at søge efter vidner under en efterforskning, skriver mediet.

Læs også: Microsoft advarer om personaliserede phishing-angreb

Det fremgår af et telefonnotat, Jyllands-Posten har fået indsigt i, at det minimum er sket to gange.

Det vides ikke, hvilket teleselskab der har begået fejlen, eller hvor mange den konkret vedrører.

Teleanalytiker Torben Rune kalder sagen alvorlig:

»Det er uskyldige mennesker, hvor politiet lige pludselig får indsigt i deres fulde kommunikation. Ikke bare, hvilke numre der er ringet til og modtaget opkald fra, men også alt, hvad der har været af sms-kommunikation,« siger Torben Rune til Jyllands-Posten.

Læs også: Trods misbrug: Ingen planer om at advare borgere ved hackingforsøg mod NemID

Erhvervsstyrelsen, der er den ansvarlige myndighed for teleområdet, bekræfter, at den i juni 2019 modtog en indberetning fra et teleselskab om et brud på persondatasikkerheden og oplyser, at den tager »sådan en indberetning alvorligt«.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (5)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Mogens Ritsholm

Jeg har svært ved at forstå fremstillingen af sagen og ikke mindst kommentarerne.

Så vidt jeg har forstået på andre kilder, er der tale om et teleselskab, der som løbende praksis logger al data, der sendes via den mobile user part på SS7 til/fra deres basisstationer og bevarer det i mindst 14 dage.

Det er begrundet i muligheden for at efterspore fejl, og det er ikke tilladt ifølge direktiv og den danske udbudsbekendtgørelse. Men selskabet henholder sig til, at det må være tilladt som en slags nødret til fejlsøgning. Det er nok yderst tvivlsomt.

Politiets adgang til disse data er ikke uretmæssig som nævnt i artiklen. Politiet kan med en editionskendelse få adgang til alle opbevarede data uanset om det er indhold eller lagret i strid med logningsreglerne.

På mobile user part sendes også SMS, omend i krypteret form. Så når det er gemt af teleselskabet, kan politiet også få det og bruge det.

Jeg husker et andet sådant eksempel.

I Tvind-sagen brugte Tvind-ledelsen Tele2 til deres interne mails. Tele2 var meget nervøse for deres mail-server, og de bevarede derfor back-ups flere år tilbage. Via edition fik politiet disse mails genskabt og udleveret fra Tele2, og det blev afgørende i sagen. Det hjalp ikke, at forsvaret plæderede for, at Tele2s opbevaring tyddeligvis var ulovlig. Retten afviste forsvarets argument med "findes det kan politiet få det og bruge det".

Så i den aktuelle sag er det teleselskabet, der begår en fejl.

Selvfølgelig skal de kunne trace trafikoplysninger på SS7 til fejlretning. Men det må ikke ske til stadighed i hele nettet og opbevares i 14 dage eller mere.

Jeg er ikke sikker på, at de andre teleselskaber er helt uskyldige. De har bare andre metoder til at levere masteoplysninger for mobil ud over dem, der efter logningsreglerne skal være til rådighed ved SMS og telefonsamtaler. Det er også ulovligt.

Det bliver bare ved og ved og ved med at være noget rod med telelogning og teleselskabernes hjælp til politiet.

  • 6
  • 0
#2 Deleted User

.. via telefon? Jeg er begyndt at tænke på om der er behov for en form for opgradering eller ændring. Men hvad, ved jeg ikke helt, men problemerne har jeg ikke problemer med at finde:

• Sim-swap • Spoofing • Begrænset nummerplans-udvalg (telefonnumre) til mobilkommunikation som ikke allerede har været brugt - bl.a. tilknyttet tjenester som fx E-boks, hvor nummeret ikke er blevet fjernet igen, så man får sms’er man ikke kan opsige. • Snooping (men gælder selvfølgelig for alt kommunikation, men visse teknologer mere sikre end andre - og skal der i så fald gøres noget ved den nævnte kommunikation).

  • 2
  • 0
#3 Rolf Hansen

Man aldrig nævner selskaberne ved navn så man kan tage sine egne forholdsregler. Det må være en meget misforstået loyalitet og kunder skal simpelthen bare stole på at myndigheder og selskabers selvransagelse. Virkelig mærkelig praksis, hvis de blev hacket og informationer var lækket, så skulle vi nok få navnet på selskabet, men åbenbart ikke når de selv bryder lovgivningen.

Er der en journalist til stede der lige kan forklarer mig hvordan det hænger sammen?

  • 0
  • 0
Log ind eller Opret konto for at kommentere