Nokia-producent tager bladet fra munden: Data skulle have været til Singapore, ikke Kina

Illustration: screenshot, nokia.com
De såkaldte aktiveringsdata, som ukendt antal norske Nokia-telefoner har sendt mod en server i Kina, skulle have været sendt til en server i Singapore, oplyser producenten nu.

Historien om Nokia 7 Plus-telefoner i Norge, der har sendt data mod en server i Kina - angiveligt som følge af en fejl - har fået et nyt kapitel.

Læs også: Medie: Nokiatelefoner har sendt oplysninger om maste-id, IMEI, MAC og SIM-kort til Kina

Forleden fortalte det norske medie NRKBeta, hvordan et ikke nærmere defineret antal Nokia 7 Plus-telefoner har sendt data til en server i Kina. Ifølge mediet var der blandt andet tale om maste-informationer og IMSI-nummeret, der kan bruges til at identificere et mobilabonnement.

Virksomheden bag Nokia-telefonerne, finske HMD-global har fortalt, at der var tale om en fejlkonfiguration af et antal telefoner. Derudover har virksomheden anført, at data ikke har været personhenførbare. I den forbindelse har virksomheden ikke uddybet nærmere, hvilke data der konkret er tale om.

HMD Global har dog siden NRKBetas oprindelige dækning nu udgivet en tekst med flere detaljer på virksomhedens hjemmeside.. Titlen på indlægget er:

»What you need to know about your privacy and the alleged 'data breach' on Nokia 7 Plus phones«

Version2 er via mail blevet gjort opmærksom på indlægget fra en pressekontakt hos virksomheden.

Af mailen fremgår det, at HMD Global har kontaktet den finske ombudsmand på området for anskueliggøre sagen på baggrund af »de vildledende og ukorrekte medie-rapporteringer.«

Det fremgår ikke, hvori HMD Global mener, den fejlagtige rapportering består.

I indlægget på hjemmesiden, som HMD Global har offentliggjort i fredags, er der flere gentagelser i forhold til tidligere udmeldinger om sagen. Men den finske virksomhed løfter også sløret for informationer, der ikke tidligere har været fremme i denne sammenhæng.

Kort opsummering

HMD Global fortæller i indlægget budskabet om, at nogle Nokia-telefoner ved en fejl er blevet udstyret med software tiltænkt det kinesiske marked.

Fejlen har bevirket, at de pågældende telefoner fejlagtigt har forsøgt at sende data til en tredjeparts-server i Kina i forbindelse med aktivering af enheden.

Ifølge HMD Global blev disse data aldrig behandlet, og ingen personer kan være blevet identificeret på baggrund af disse data.

HMD Global understreger, at ingen personhenførbare data er blevet delt med nogen tredjepart. Virksomheden uddyber ikke, hvilke data der er tale om, og som altså ikke skulle være personhenførbare.

Fejlen blev rettet i februar i år med en softwareopdatering, som næsten alle berørte telefoner ifølge HMD Global har installeret. HMD Global omtaler i øvrigt denne softwareopdatering som et »security fix«, altså en sikkerhedsrettelse.

Singapore

Ifølge indlægget fra HMD Global, bliver enhedsdata fra Nokia-telefoner solgt udenfor det kinesiske marked sendt til servere i Singapore, som ligger hos Amazon Web Services.

Det vil sige, at data fra de fejlkonfigurerede telefoner skulle have været sendt til Singapore, ikke til Kina.

Når data fra telefoner solgt på det kinesiske marked skal sendes til en server i Kina, skyldes det ifølge HMD Global kinesisk lovgivning. Den finske virksomhed oplyser, at for at leve op til den kinesiske lovgivning, så skal data indsamlet i Kina opbevares i landet.

I forhold til Singapore, så oplyser HMD Global, at landet har en striks privacy lovgivning, som lever op til GDPR.

Data

Når Nokia-telefonerne i første omgang overhovedet sender data til Singapore eller til Kina, så sker det ifølge HMD Global primært af to årsager.

Dels bliver der sendt data første gang telefonen tages i brug. Her er formålet ifølge HMD Global at vide, hvornår garantiperioden for enheden skal træde i kraft.

Derudover bliver der samlet data ind, såfremt brugeren har valgt at deltage i det, der kaldes 'User Experience Program'. Her skulle formålet være, at indsamle brugertilfredsheds-data og diagnostiske data fra enheden med henblik på at forbedre »produkter og tjenester.«

Proxy-forvirring

Udover indlægget, så har HMD Global også udgivet en »Data Collection Technical Details FAQ’s«. Altså svar på hyppigt stillede spørgsmål til de tekniske detaljer.

HMD Global fortæller her, at der blive anvendt to proxy'er til dataindsamling. En til Kina og en til Singapore.

Proxy’erne er registreret af en samarbejdspartner, men er under HMD Globals kontrol, oplyser den finske virksomhed.

»Vi vil gerne pointere, at der er internettjenester, som giver vildledende informationer, når man søger på proxy-ejeren,« står der i skrivelsen om emnet hos HMD Global.

Her oplyser virksomheden, at domæneregistratoren ofte fremstår som domæne-ejer i stedet for den faktiske domæne-ejer.

»Vi har bemærket, at dette har skabt nogen forvirring, og derfor, har vi lavet en ny proxy-politik, som nu er ved at blive implementeret.«

HMD Global kommer ikke nærmere ind på, hvad forvirringen har bestået i, eller hvad den nye politik går ud på.

Java-kode og aktiveringsklient

I FAQ'en bemærker HMD Global også, at det, virksomheden kalder tech-entusiaster, har dekompileret javakoden bag den såkaldte aktiveringsklient - programmet, som sender data til en server, når telefonen bliver taget i brug første gang.

»Disse tech-guruer har fundet referencer til noget gammel kode (eng. legacy code), såsom referencer til andre produkter og domæner,« oplyser HMD Global på sitet.

Virksomheden har her fundet det, hvad der beskrives som afvigelser fra god kodepraksis, og nu arbejder softwareudviklere på forbedringer på området, oplyses det.

Hvad aktiveringsprogrammet angår, så fortæller HMD Global i den tekniske FAQ, at der i udgangspunktet kun sendes data en gang. Antageligt når telefonen tages i brug første gang.

Dog kan der ifølge selskabet opstå situationer, hvor serveren, som aktiveringsklienten forsøger at nå, ikke kan modtage data.

»I disse tilfælde, så ender enheds-aktiveringsklienten op i et loop og vil forsøge at sende den samme besked igen og igen,« oplyser HMD Global.

Spørgsmål

Indlægget fra HMD Global og FAQ'en efterlader flere spørgsmål.

Virksomheden går eksempelvis ikke i detaljer med, hvilke data der bliver indsamlet fra enhederne i forhold til aktivering af garantien og det såkaldte 'User Experience Program'

Ifølge den oprindelige artikel fra NRKBeta, så bliver data indsamlet og sendt om blandt andet mac-adresse (et id-nummer for telefonens netværksinterface), IMSI-numre (id-nummer for abonnementet), EMEI-nummeret (et id-nummer for telefonen) og et Cell ID.

Sidstnævnte identificerer den aktuelle mast, telefonen er tilkoblet.

Version2 har bedt HMD Global oplyse, hvilke data der nærmere bestemt er tale om.

På hjemmesiden kommer HMD Global heller ikke ind på, hvor mange Nokia-telefoner, der har haft den forkerte software. Virksomheden taler blot om et 'batch'. Vi har spurgt til, hvor mange telefoner, det drejer sig om, og om nogen af dem er solgt i Danmark.

Version2 påtænker at bringe nyt om sagen, såfremt der kommer nævneværdigt nyt at berette.

Både Center for Cybersikkerhed og det danske Datatilsynet har tidligere oplyst, at man ingen kommentarer har til sagen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (9)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Svend Nielsen

Meget interessant udvikling, som måske indikerer, at sagen er både mere alvorlig og mere omfattende end den ser ud til på overfladen.

Ifølge NRKBeta indeholdt de sendte data blandt andet en mac-adresse (et id-nummer for telefonens netværksinterface), IMSI-numre (id-nummer for abonnementet), EMEI-nummeret (et id-nummer for telefonen) og et Cell ID."

Hvis det svar er rigtigt, bryder Nokia med stor sandsynlighed GDPR reglerne. IMSI nummeret er personhenførbart, og betragtes ifølge GDPR rec. 30 som såkaldte Online Identifiers, som ikke må loges med mindre brugeren giver tilladelse.

NRKBeta skriver nu, at myndighederne vil lade EDSP (European Data Protection Supervisor, se: https://europa.eu/european-union/about-eu/institutions-bodies/european-d...) gå ind i sagen, og vil efterforske hændelsen.
(Se: https://www.hs.fi/talous/art-2000006042703.html
Ifølge Google Translate læser overskriften: "EDPS overvejer en europæisk undersøgelse af Nokia-telefoner - producenten benægter at sende personlige oplysninger til tredjeparter".)

Samtidig kan man konstaterer, at samtlige de links som både Version2 og NRK henviser til hos HMD Global, ender blindt - man har simpelt hen fjernet (eller flyttet) indholdet på selskabets hjemmeside - hvorfor mon - kan selvfølgelig være en fejl - men ... det er jo også muligt at det er et led i en hold-kæft strategi, som skal dæmme op for en potentiel skandale der er ved at spinde ud af kontrol.

Det værste er, at HMD Globas ved sine mange forklaringer gør ondt værre, fordi (i det mindste nogle af) forklaringerne ikke kan være sande.
F.eks. denne: »I disse tilfælde, så ender enheds-aktiveringsklienten op i et loop og vil forsøge at sende den samme besked igen og igen,« oplyser HMD Global. (som Hans Nielses også har spottet i kommentarsporet).
Det er meget lidt sandsynligt at dette forekommer. Det vil tømme et abonnement for data i løbet af kort tid, og påføre kunden ekstraomkostninger - så det er IKKE det der sker.
Et andet eksempel: "HMD benægter at hase sendt data til 3. part", utvivlsomt rigtigt, men hvis de sender dem til sig selv - hvad det jo siger de gør - overtræder de helt åbentlyst GDPR reglerne. Så det nytter ikke at nægte noget, dagen efter at man har sendt en pressemeddelelse ud om, at fejlen var at det var kina og ikke HMD som fik data. Det hænger ikke sammen.
Nogen i HMD har måske tænkt således: "Ups, vores hstorier hænger ikke sammen. Lad os fjerne hele balladen før nogen opdage det. Vi leger struds indtil akke har glemt det". Den strategi holder dog næppe overfor EDSP.

Brian Højen-Sørensen

Det er selvfølgelig en temmelig skidt sag for HMD, men da det (ifølge HMD) er normal praksis ved aktivering af telefonen, så må man antage at alle andre producenter gør noget lignende. Det kunne være interessant hvis version2 spurgte andre producenter hvordan deres telefoner aktiveres?

Om mine oplysninger ryger til Kina, Singapore, Finland eller et fjerde sted er egentlig ret ligegyldigt. Problemet er at de overhovedet sendes.

Svend Nielsen

Det er selvfølgelig en temmelig skidt sag for HMD, men da det (ifølge HMD) er normal praksis ved aktivering af telefonen, så må man antage at alle andre producenter gør noget lignende.

Jeg vil tillade mig at tvivle på, at der er tale om normal praksis. Ja, aktivering er normalt, men IKKE med GPS position og SIM kort info. Normalt er, at producenten overfører et serienummer, og anden teknisk info, men IKKE personhenførbare data.
Jeg har arbejdet i mobilbranchen i mange år, og har ikke hørt om, at aktiveringsprocesserne skulle sende brugerdata - så jeg tillader mig at antage, at HMD må stå for den påstand alene.

Svend Nielsen

Det bliver da værre og værre. Af HMDs FAQ (https://www.nokia.com/phones/en_int/data-collection-tech-details) kan man læse følgende:

"Data from global device variants (that are sold e.g. in Europe, US, India) is stored at HMD Global’s servers in Singapore provided by Amazon Web Services. Singapore, as you may already know, follows very strict privacy laws and is fully compliant with the GDPR. "

Nu er det jo altså ikke op til et land eller en regering at følge GDPR. Det er HMD der skal sørge for at procedurer og regler - herunder informeret samtykke - overholdes.

Når man læser HMDs formulering, virker det faktisk som om virksomheden ikke aner hvad GDPR overhovedet går ud på. Skræmmende.

Log ind eller Opret konto for at kommentere
Brugerundersøgelse Version2
maximize minimize