Læk af hemmelige numre: Yousee opdagede fejl og kontaktede kunderne to måneder senere

Illustration: TDC
Selvom Yousee opdagede fejl bag læk i kunders hemmelige adresser og telefonnumre i april sidste år, begyndte virksomheden første at kontakte kunderne i juni.

Sidste år kom det frem, at næsten 10.000 Yousee-kunder havde fået lækket hemmelige telefonnumre og adresser som følge af en fejl i forbindelse med overflytning af kunder fra et system til et andet.

Nu viser det sig, at Yousee opdagede fejlen i starten af april, men at det TDC-ejede brand først begyndte at fortælle de berørte kunder om hændelsen to måneder senere, i starten af juni. Virksomhedens forklaring er, at der skete yderligere en fejl, som bevirkede, at kunder fik eksponeret data frem til slutningen af maj, selvom den oprindelige fejl blev løst i april.

Hemmelig adresse og/eller telefonnummer vil her sige, at kunderne har ønsket oplysningerne udeladt fra diverse søgetjenester som TDC’s egen 118.dk, De Gule Sider og Krak.

Der kan være mange grunde til at nogle foretrækker en sådan udeladelse. Eksempelvis kan man forestille sig, at en person, der har problemer med en stalker, ikke er interesseret i at optræde på søgesiderne.

I en mail til Version2 sendt via TDC's presseafdeling, oplyser Yousees direktør Jacob Mortensen, at konsekvensen af fejlen har været, at adresser og telefonnumre, som kunderne ellers har ønsket udeladt, har kunnet søges frem i en periode på typisk en til fire uger og for enkelte kunder i op til 11 uger.

Blev ikke registeret som fejl

Fejlen opstod 16. marts i forbindelse med det, Jacob Mortensen kalder en forenkling af virksomhedens it-systemer. Her blev kundedata flyttet fra et system til et andet. Den første eksponering af de fortrolige adresser og telefonnumre fandt sted 17. marts.

Ifølge Jacob Mortensen blev Yousee opmærksom på fejlen 4. april. Virksomheden begyndte en fejlretning, som blev afsluttet 13. april. Men på grund af endnu en fejl fortsatte eksponeringen af fortrolige data frem til 29. maj.

»Ved en menneskelig fejl blev hændelsen ikke – som TDC’s faste procedurer ellers foreskriver - registeret som en fejl i vores interne systemer, hvorfor to efterfølgende mindre datakørsler også var påvirket af fejlen. Af samme grund blev hændelsen heller ikke indberettet til myndighederne eller meddelt til kunderne før efter den tredje kørsel i slutningen af maj,« oplyser Yousees direktør Jacob Mortensen i et skriftligt svar sendt via TDC's presseafdeling.

Flere andre tjenester gør brug af oplysningerne fra TDC, eksempelvis De Gule Sider og Krak. Og derfor kan et læk hos TDC sprede sig som ringe i vandet. Jacob Mortensen oplyser, at TDC efter 29. maj fortsat var i dialog med eksterne købere af nummeroplysningsdata for at sikre, at oplysningerne heller ikke fremgik andre steder. 6. juni begyndte Yousee så at kontakte de berørte kunder.

»Timingen af dette skyldes, at vi først ønskede at rette op på fejlen og derefter sikre, at de udeladte numre og adresser ikke fremgik længere. Det var ligeledes et hensyn, som Erhvervsstyrelsen har lagt vægt på i vores dialog om håndteringen af sagen,« hedder i et svaret fra Jacob Mortensen.

»Vi er enormt kede af denne sag«

Konkret fik 9.967 Yousee-kunder som følge af fejlen blotlagt oplysninger, de ellers havde ønsket at holde for dem selv.

»Vi er enormt kede af denne sag, som vi har gransket grundigt, hvilket har ført til revurdering og opstramning af interne processer. Eksempelvis har vi indført flere og bedre interne kontroller ved datamigreringer mellem it-systemer. Dette er en fejl, som ganske enkelt ikke må ske,« oplyser Jacob Mortensen i det skriftlige svar.

En fejl, der i hvert fald ude fra set minder om den fejl, der med Jacob Mortensens ord ikke må ske, skete igen i starten af december 2018. Her fik ca. 4.800 Yousee-kunder eksponeret deres i udgangspunktet hemmelige adresser på 118.dk, De Gule Sider og Krak, har BT fortalt. I forbindelse med dette læk skulle hemmelige telefonnumre dog ikke være blevet blotlagte.

Jacob Mortensen fortalte til BT i den forbindelse, at dette læk systemmæssigt intet havde at gøre med det tidligere læk, hvor de næsten 10.000 kunder fik eksponeret oplynsinger. En fællesnæver er dog, at de begge læk skulle være opstået som følge af det, Yousee-direktøren kalder en menneskelig fejl.

»Det her giver anledning til, at vi indtil videre stopper med at flytte kundernes oplysninger i systemerne. Selvom det var en menneskelig fejl, så stopper vi processen nu for at gå alle forhold igennem for, hvad der kan gå galt. I Yousee håndterer vi hver dag produkter og tjenester for mere end hver anden husstand i Danmark. Derfor tager vi også sådanne sager meget alvorligt og gør alt, hvad vi kan for at lære af dem og forbedre os og for at undgå, at de gentager sig,« sagde Jacob Mortensen til BT i december.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (5)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Thomas Bøge Nielsen

Tænkt at YouSee allerede informerede kunderne efter få måneder.
I en sage med visse fællesstræk, men som jeg anser for langt alvorligere, er sagen så vidt jeg ved ikke løst på 10 måneder. Til gengæld har Yousee endnu ikke informeret deres kunder - og efter jeg for 10 måneder siden opfordrede dem til det, blev jeg kontaktet af deres "kundeambassadør", der kunne fortælle, at det var af sikkerhedshensyn, kunderne ikke blev inofrmeret. Det er svært at se meningen i, når hullet ikke ligefrem var nogen hemmelighed, men blev debateret på deres eget forum:
https://forum.yousee.dk/coax-9/sikkerhedshul-sagemcom-102246/index1.html...

Jeg har svært ved at se, at Yousee overhovedet interesserer sig for sikkerhed.

  • 9
  • 0
Chris Bagge

Nåede de lige at melde det inden GDPR trådte i kraft, elller ...
Som jeg husker det, så har man 72 timer fra at en fejl opdages og indtil den skal meldes til myndighederne, ellers falder hammeren.
Måske er der noget der skal kigges på her.

  • 3
  • 1
Svend Nielsen

"Eksempelvis kan man forestille sig, at en person, der har problemer med en stalker, ikke er interesseret i at optræde på søgesiderne."

Ja, men problemet stikker langt dybere, selv om stalking også er alvorligt. Eksponering af myndighedspersoner, eller andre som f.eks. er ansat i eller arbejder for efterretningsvæsner osv. så har vi at gøre med forhold som kan true nationens sikkerhed.

Derfor kan man ikke bare nøjes med at konstarerer, at der var ærgerligt at det skete, og at man også kludrede i det da man skulle rettet fejlen og at det sørme også gik galt da man skulle advare om fadæsen.

"Derfor tager vi også sådanne sager meget alvorligt og gør alt, hvad vi kan for at lære af dem og forbedre os og for at undgå, at de gentager sig..."

Men åbenbart ikke alvorligt nok, siden sagerne åbenbart dukker op gentagende gange. Noget tyder på, at TDC koncernen ikke selv ved egen kraft kan finde ud af det, og forsøger at tale probelmet ned som "det er kun et stalker problem", "vi er kede af det", "det må ikke ske", "det var kun en menneskelig fejl", "det var kun 4-5 uger den var gal", "vi glemte at indberette, men vi gjorde da noget", "vi skulle lige rette op inden vi kontaktede kunderne", .... bla. bla.

Når jeg læser (bort)forklaringerne løber det koldt ned af ryggen. Har de mennesker overhovedet forstand på det de gør, og forstår de alvoren i deres fejl. Det fremstår ikke sådan.
Vi taler om informationer, som i de forkerte hænder kan betyde trusler mod nationens sikkerhed. Det er ikke for sjov, at visse numre og adresser udelades i telefonlister.

En sådan sjusk med data burde føre til endog meget alvorlige sanktioner. Store bøder, og en eventuel fratagelse af retten til i det hele taget at offentliggøre denne form for information.

Mit forslag: Alle kunder hos et teleselskab skal som udgangspunkt betragtes som "udeladt". Hvis en kunde ønsker en optagelse i en offentlig tilgængelig telefonliste, skal man aktivt tilmelde sig. Det skal tydeligt fremgå, hvem der i så fald får adgang til at bruge data, og man skal underrettes i forvejen, hvis brugerkredsen udvides, og man skal kunne trække sin offentliggørelse tilbage med øjeblikkelig virkning. Det giver ingen mening at teleselskaberne laver forretning på at sælge kundernes private informationer, og da slet ikke når det åbenlyst sker med en helt amatøragtig og primitiv tilgang til håndteringen.

  • 2
  • 1
Log ind eller Opret konto for at kommentere