Uvedkommende har i årevis kunnet aflytte skandinaviske kunders telefonsvarer uden at efterlade sig spor alene ved at ringe telefonsvareren op. Det afslører en undersøgelse, som en it-sikkerhedssekspert har gennemført sammen med Version2.
Årsagen til sårbarheden er en skødesløs opsætning af telefonsvarer-funktionen.
I Danmark er det Telias kunder, der er ramt – og selskabet er dermed skyld i et brud på den fortrolighed, som teleselskaberne skal sikre for kommunikation over telenettet.
For Telias kunder betyder det, at alle kan aflytte deres beskeder, uden at kunden har den mindste chance for at opdage, om nogen har lyttet med.
Version2 har testet Telia Danmark, Yousee, Telenor Danmark, Yousee, TDC Erhverv og 3. Heriblandt var det kun Telia, der lod os aflytte uden at afgive nogen PIN. Alle undtagen TDC Erhverv stolede på, at vi var vores ofre, og lod os tilgå voicemail-indbakken, som dog var beskyttet af en firecifret PIN. TDC Erhverv var umiddelbart i stand til at gennemskue vores spoof rent teknisk. Vi kom derfor aldrig til nogen PIN.Vores undersøgelse
I tæt samarbejde med Version2, Digi.no i Norge og Ny Teknik i Sverige har han afsløret, at en række skandinaviske teleselskaber ikke har styr på den basale sikkerhed omkring telefonsvarere.
Det resulterer overordnet set i, hvad it-sikkerhedseksperten Per Thorsheim beskriver som en skandinavisk skandale, der potentielt har udsat hundrede tusinder af skandinaviske telekunder over mange år for en høj risiko for persondatalæk.
»Det her viser umiddelbart, at der kan være sket brud på fortroligheden,« lyder det kortfattet fra Thomas Lund Sørensen, der er chef for Center for Cybersikkerhed (CFCS).
Det er velkendt i sikkerhedsbranchen, at det er legende let at spoofe opkald. Der er mange tjenester der tillader det. Nogle af gratis, mens de fleste kræver meget små summer per opkald. Flere af tjenesterne tilbyder også gateways i flere lande, der gør det endnu sværere rent teknisk at finde ud af, hvor opkaldet faktisk kommer fra. Kilde: Keld Norman, Dubex; Per ThorsheimSpoofede opkald
Ukendt omfang
Helt konkret tillader Telias tekniske opsætning af telefonsvareren, at alle, der ringer fra offerets telefonnummer, ryger direkte igennem til aflytning af telefonsvarer-beskeder.
Også folk, der bare lader, som om de ringer fra offerets telefonnummer. Det trick kaldes spoofing.
Telia oplyser til Version2, at selskabet skiftede telefonsvarer-udbyder i marts 2019, og at selskabet regner med, at opsætningsfejlen opstod hér. Samtidig kan selskabet ikke garantere, at den ikke går længere tilbage.
»Vores teknikere analyserer sagen nærmere i samarbejde med bl.a. vores voicemail-leverandør for at finde ud af, om konkrete kunder er blevet hacket,« skriver Telia i en mail til Version2.
Telia oplyser, at selskabet på nuværende tidspunkt ikke kender til, at kunders telefonsvarer er blevet hacket. Sammen med Per Thorsheim har Telia nu lukket sårbarheden.
Gammel, velkendt sårbarhed
Det er 13 år siden, den første store skandale med aflytning af telefonsvarerbeskeder rullede.
Her beviste den amerikanske kendis Paris Hilton, at man gennem simpel software kan ringe andre op og udgive sig for at ringe med et hvilket som helst telefonnummer.
Version2 har brugt fuldstændig den samme software, som Paris Hilton anvendte dengang, til at trykteste de danske teleselskaber. Så angrebet er fuldstændig det samme.
Der er også et mere nyligt dansk eksempel, hvor fagbladet Journalisten med stor succes hackede tre kilders telefonsvarere for at illustrere, hvordan denne slags angreb eksempelvis kunne bruges til at kompromittere kildebeskyttelse.
I England måtte et stort medie lukke, fordi det blev afsløret, at det overvågede kilder med teknikken.
Med alt dette in mente er det dybt kritisabelt, at Telia ikke har sikret kunderne ordentligt mod det trivielle hack, fastslår Per Thorsheim.
»Det er absurd, at en sårbarhed, der blev offentliggjort for 13 år siden, stadig kan udnyttes i 2019. Det skal lukkes, og det skal lukkes nu,« siger han.
Myndigheder sætter ind
Version2’s afsløring giver genlyd hos myndighederne.
»Erhvervsstyrelsen bekræfter, at vi i går den 2. december modtog en henvendelse fra Telia. Styrelsen er nu gået i gang med at behandle sagen,« skriver Erhvervsstyrelsen, der ikke har andre kommentarer, i en mail til Version2.
Også CFCS, der er sikkerhedsmyndighed på teleområdet, er nu gået ind i sagen.
»Vi takker Version2 for henvendelsen og kan oplyse, at det er noget, vi vil undersøge nærmere og se, hvad vi kan gøre som sikkerhedsmyndighed,« siger Thomas Lund Sørensen.
Han fortæller til Version2, at CFCS blandt andet vil høre Telia, hvad selskabet vil gøre for fremadrettet at sikre »fortroligheden på telenettet«, som han udtrykker det.
Version har også kontaktet Datatilsynet, der henviser til Erhvervsstyrelsen som primær myndighed for telesektoren, også i forhold til persondata.
Ekspert: Ensret sikkerheden
I Danmark er der mindst tre niveauer af sikkerhed omkring telefonsvarerne. Telia har ingen sikkerhed, når først opkaldet er spoofet. Andre selskaber kræver en firecifret PIN, men hopper på spoofingen, mens et enkelt selskab gennemskuer spoofingen.
»Som på alle andre områder bør man ensrette sikkerheden, så forbrugerne ved, hvad de kan forvente, samt hvordan man sikrer sig. Både som den, der ringer og lægger en besked, og som indehaver af telefonsvareren,« siger Per Thorsheim.
Men det har CFCS ingen planer om.
»Der er ingen tvivl om, at det her skal sikres ordentligt, men det kan gøres på flere måder, og vi vil ikke gøre os til dommere over, hvilken der er den rigtige. Det vigtigste er, at det her bliver lukket,« lyder det fra Thomas Lund Sørensen.
I Norge er det Telenor, som deler net med Telia Norge, der er sårbart, mens det i Sverige er den internationale teleudbyder T2.
Artiklen er rettet d. 4 december 12:30 med citat fra Erhvervssyrelsen. Det fremgår nu tydeligt, at styrelsen er i gang med at behandle sagen.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
