Knap 7,5 millioner telekunder i Skandinavien har været ramt af voicemail-sårbarhed

Illustration: monkeybusinessimages/Bigstock
Hacker-metode vendt mod mobilsvar har været kendt i 13 år. Knap 1,45 millioner Telia-mobilkunder har i Danmark været omfattet af sårbarheden, som først blev lukket for nylig.

Næsten 7,5 millioner mobilabonnenter i Danmark, Norge og Sverige har haft en mobiltelefonsvarer, der indtil for ganske nylig var yderst sårbar over for hacking.

Det viser en optælling, som Version2s norske søstermedie, Digi.no, har gennemført.

Version2 kunne tidligere i dag fortælle, at det ved hjælp af nemt tilgængelig teknologi er muligt for uvedkommende at foretage et opkald med en andet nummer end ens eget, og dermed få direkte adgang til voicemails.

Læs også: Skandinavisk skandale: Telia Danmark lader alle lytte med på telefonsvareren

Digi.no's opgørelse viser, at i Norge har 2 millioner Telenor-abonnenters voicemail været sårbare i langt over ti år.

I Sverige har Tele2s 3,9 millioner kunder været sårbare i samme tidsrum, afslører Ny Teknik tirsdag.

I Danmark har 1,45 millioner Telia-mobilkunder været omfattet af sårbarheden.

Afsløringen af sårbarheden er gennemført i samarbejde med it-sikkerhedsekspert Per Thorsheim.

Allerede i sidste uge kunne Digi.no afsløre, at det på den måde er muligt ved at forfalske opkaldsnumre og ringe direkte ind i private voicemail - uden pinkode .

Alene hos Telenor har to millioner norske kunder med voicemailen i årevis været sårbare over for et kendt angreb med såkaldt spoofing.

Læs også: Spoofing af telefonnumre: Når 'Iben' ikke er fra kundeservice

Medieomtale ignoreret

Da norske medier skrev om Telenors sikkerhedshuller tilbage i 2007, gik den norske post- og telekommunikationsmyndighed (nu Nkom) ind i sagen. Dog blev hullet ikke lukket før nu i november, mere end 12 år senere.

»Nkom tager sagen alvorligt og iværksatte et tilsyn med Telenor, Telia og Ice, da Nkom i november blev opmærksom på, at der var usikkerhed om integriteten af voicemails. Den 18. november åbnede vi en revision for at undersøge, om denne sårbarhed findes i det norske mobilnet,« skriver sektionsleder for Nkom's sikkerhedsafdeling, Svein Sundför Scheie til Digi.no.

Selskaberne har indtil 5. december til at svare på revisionen. Nkom vil derefter gå ind i sagen.

Hvilket ansvar har den nationale kommunikationsmyndighed for at sikre, at der åbenbart ikke er ført tilsyn med denne sårbarheden hos Telenor i alle disse år?

»Det er udbyderne, der er ansvarlige for at etablere en forsvarlig sikkerhed med de nødvendige sikkerhedsforanstaltninger til beskyttelse af kommunikation og data. Nkom har været tydelig omkring, at en sådan sårbarhed er problematisk, og at vi forventer, at udbydere træffer de nødvendige foranstaltninger,« svarer Scheie.

Han oplyser, at sårbarheden er omfattet af en norsk lov, der - lidt lige som sanktionsbestemmelsen i persondataforordningen - giver mulighed for udstikke en bøde på op til 5 procent af virksomhedens årlige omsætning i tilfælde af lovovertrædelse.

Om afvigelsen også falder ind under GDPR eller fortrolighedslovgivningen er noget, som det norske Datatilsynet muligvis skal overveje. Det danske tilsyn afviser at forholde sig til lækkene, idet det er Erhvervsstyrelsen, der er primær myndighed for telesektoren. Også persondatamæssigt.

Telenor har selv anerkendt, at afvigelsen kan være et brud på privatlivs-lovgivningen.

Så nemt er angrebet

Sikkerhedsekspert Per Thorsheim er brudt ind på telefonsvareren hos omkring 15 mobilkunder i de tre lande med samtykke fra de involverede. I videoen ser du, hvordan han gør uden videre forklaring.

Det er bevidst for ikke direkte at instruere i denne form for svindelangreb, der kan bruges til andre ugerninger.

Mobilsvar-hacking from Teknologiens Mediehus on Vimeo.

Intet privat forsvar mod spoofing

Digi.no har spurgt Nkom, der er telemyndighed i Norge, om, hvad man kan gøre mod spoofing generelt. I dag er det nemlig sådan, at man er nødt til at stole på, at angrebsnummeret er ægte.

Der er som offer for spoofing ingen måde at gennemskue tricket på, og det skyldes måden vores internationale telefonprotokol, SS7, er skruet sammen på.

Spoofing er altså en international udfordring, som kræver en indsats på flere niveauer, siger Scheie i Nkom.

På nationalt plan har norske Nkombedt alle teleudbydere lukke ned for opkald, der ikke identificerer sig ordentligt. Det vil sige opkald gennem nogen, der ikke har brugsret til det såkaldte A-nummer. Hvis de implicerede teleselskaber havde overholdt dette krav, var Per Thorsheims hacking ikke lykkes.

Der er, så vidt Version2 ved, ikke lignende krav i Danmark.

»Vi har også nedsat en ekspertgruppe i år, der skal se nærmere på, hvad vi kan gøre for et begrænse international nummersvindel. gruppen har særlig fokus på spoofing og det er vores indtryk, at udbyderne har fokus på den her form for svindel,« siger Scheie til digi.no.

Der er heller ikke en lignende gruppe i Danmark, der altså umiddelbart halter bagud på bekæmpelsen af Spoofing.

Version2 arbejder på en opfølger med de danske myndigheder.

Denne artikel stammer i det væsentlige fra Digi.no

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (1)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere