Skandinavisk skandale: Telia Danmark lader alle lytte med på telefonsvareren

Illustration: TeroVesalainen | Bigstock
Paris Hilton gjorde hacker-metoden kendt for 13 år siden. Indtil i dag har Telia været sårbar over for det samme simple angreb.

Uvedkommende har i årevis kunnet aflytte skandinaviske kunders telefonsvarer uden at efterlade sig spor alene ved at ringe telefonsvareren op. Det afslører en undersøgelse, som en it-sikkerhedssekspert har gennemført sammen med Version2.

Årsagen til sårbarheden er en skødesløs opsætning af telefonsvarer-funktionen.

Læs også: Spoofing af telefonnumre: Når 'Iben' ikke er fra kundeservice

I Danmark er det Telias kunder, der er ramt – og selskabet er dermed skyld i et brud på den fortrolighed, som teleselskaberne skal sikre for kommunikation over telenettet.

For Telias kunder betyder det, at alle kan aflytte deres beskeder, uden at kunden har den mindste chance for at opdage, om nogen har lyttet med.

I tæt samarbejde med Version2, Digi.no i Norge og Ny Teknik i Sverige har han afsløret, at en række skandinaviske teleselskaber ikke har styr på den basale sikkerhed omkring telefonsvarere.

Det resulterer overordnet set i, hvad it-sikkerhedseksperten Per Thorsheim beskriver som en skandinavisk skandale, der potentielt har udsat hundrede tusinder af skandinaviske telekunder over mange år for en høj risiko for persondatalæk.

»Det her viser umiddelbart, at der kan være sket brud på fortroligheden,« lyder det kortfattet fra Thomas Lund Sørensen, der er chef for Center for Cybersikkerhed (CFCS).

Ukendt omfang

Helt konkret tillader Telias tekniske opsætning af telefonsvareren, at alle, der ringer fra offerets telefonnummer, ryger direkte igennem til aflytning af telefonsvarer-beskeder.

Også folk, der bare lader, som om de ringer fra offerets telefonnummer. Det trick kaldes spoofing.

Telia oplyser til Version2, at selskabet skiftede telefonsvarer-udbyder i marts 2019, og at selskabet regner med, at opsætningsfejlen opstod hér. Samtidig kan selskabet ikke garantere, at den ikke går længere tilbage.

»Vores teknikere analyserer sagen nærmere i samarbejde med bl.a. vores voicemail-leverandør for at finde ud af, om konkrete kunder er blevet hacket,« skriver Telia i en mail til Version2.

Telia oplyser, at selskabet på nuværende tidspunkt ikke kender til, at kunders telefonsvarer er blevet hacket. Sammen med Per Thorsheim har Telia nu lukket sårbarheden.

Gammel, velkendt sårbarhed

Det er 13 år siden, den første store skandale med aflytning af telefonsvarerbeskeder rullede.

Her beviste den amerikanske kendis Paris Hilton, at man gennem simpel software kan ringe andre op og udgive sig for at ringe med et hvilket som helst telefonnummer.

Version2 har brugt fuldstændig den samme software, som Paris Hilton anvendte dengang, til at trykteste de danske teleselskaber. Så angrebet er fuldstændig det samme.

Der er også et mere nyligt dansk eksempel, hvor fagbladet Journalisten med stor succes hackede tre kilders telefonsvarere for at illustrere, hvordan denne slags angreb eksempelvis kunne bruges til at kompromittere kildebeskyttelse.

I England måtte et stort medie lukke, fordi det blev afsløret, at det overvågede kilder med teknikken.

Med alt dette in mente er det dybt kritisabelt, at Telia ikke har sikret kunderne ordentligt mod det trivielle hack, fastslår Per Thorsheim.

»Det er absurd, at en sårbarhed, der blev offentliggjort for 13 år siden, stadig kan udnyttes i 2019. Det skal lukkes, og det skal lukkes nu,« siger han.

Myndigheder sætter ind

Version2’s afsløring giver genlyd hos myndighederne.

»Erhvervsstyrelsen bekræfter, at vi i går den 2. december modtog en henvendelse fra Telia. Styrelsen er nu gået i gang med at behandle sagen,« skriver Erhvervsstyrelsen, der ikke har andre kommentarer, i en mail til Version2.

Også CFCS, der er sikkerhedsmyndighed på teleområdet, er nu gået ind i sagen.

»Vi takker Version2 for henvendelsen og kan oplyse, at det er noget, vi vil undersøge nærmere og se, hvad vi kan gøre som sikkerhedsmyndighed,« siger Thomas Lund Sørensen.

Han fortæller til Version2, at CFCS blandt andet vil høre Telia, hvad selskabet vil gøre for fremadrettet at sikre »fortroligheden på telenettet«, som han udtrykker det.

Version har også kontaktet Datatilsynet, der henviser til Erhvervsstyrelsen som primær myndighed for telesektoren, også i forhold til persondata.

Ekspert: Ensret sikkerheden

I Danmark er der mindst tre niveauer af sikkerhed omkring telefonsvarerne. Telia har ingen sikkerhed, når først opkaldet er spoofet. Andre selskaber kræver en firecifret PIN, men hopper på spoofingen, mens et enkelt selskab gennemskuer spoofingen.

»Som på alle andre områder bør man ensrette sikkerheden, så forbrugerne ved, hvad de kan forvente, samt hvordan man sikrer sig. Både som den, der ringer og lægger en besked, og som indehaver af telefonsvareren,« siger Per Thorsheim.

Men det har CFCS ingen planer om.

»Der er ingen tvivl om, at det her skal sikres ordentligt, men det kan gøres på flere måder, og vi vil ikke gøre os til dommere over, hvilken der er den rigtige. Det vigtigste er, at det her bliver lukket,« lyder det fra Thomas Lund Sørensen.

I Norge er det Telenor, som deler net med Telia Norge, der er sårbart, mens det i Sverige er den internationale teleudbyder T2.

Artiklen er rettet d. 4 december 12:30 med citat fra Erhvervssyrelsen. Det fremgår nu tydeligt, at styrelsen er i gang med at behandle sagen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (14)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Peter Kruse

Ufatteligt. Når jeg lige søger tilbage er det 5 år siden at vi testede og demonstrerede dette (Jan Kaastrup) og jeg i en TV udsendelse. At Telia ikke har rettet det er grimt. Det har hovedparten af andre udbydere i dk som ved roaming gemmentvinger password så man undgår caller-ID spoofing. Men det er altså stadig en tus gammel nyhed.

Det kan ikke komme som en overraskelse for CfCS. Det er blevet nævnt ved mange lejligheder.

  • 5
  • 1
Jesper Jepsen

Bare fordi det er nævnt er ikke det samme som nogle har hørt efter og slet ikke det samme som nogle har forstået det end sige tager handling.. CFCS er i bund og grund politisk og hvis ikke chefferne på borgen mener det er værd at bruge tid på = nok vælgere der vil stemme anderledes så sker der ikke noget

  • 0
  • 0
Søren Jæger Hansen

Hvordan kan det egentlig være, at man tillader spoofing i netværkene (der er tilsyneladende samme problem med SMS)? Man skulle tro, at telenettene kunne klistre rette nummer på, eller alternativt kun tillade et vist sæt af afsendernumre, som kunden har købt.

Men måske er der en teknisk forklaring?

  • 0
  • 0
Sidsel Jensen Blogger

Man kan jo kun håbe på at dette sætter skub i Telco'erne til at få indført SHAKEN/STIR ASAP: http://nymag.com/intelligencer/2018/05/how-to-stop-spam-robocalls-with-s...

Det ligner mest en telefon udgave a klient certifikater...

Man kan iøvrigt læse mere her (desværre paywalled :-() : https://www.digi.no/artikler/mobilhack-skandalen-vokser-mer-enn-7-millio...

  • 1
  • 0
Povl Hansen

Hvordan kan det egentlig være, at man tillader spoofing i netværkene

Hvis du ringer til Danmark fra Ferien på Hawaii, så vil du gerne have af den du ringer til i Danmark kan se på deres telefonaf det er dig der ringer.

Det kræver af det Danske mobilsleskab stoler på de info de får fra mobilselskabet på Hawaii.

En mulighed er selvfølgelig af skrive ukendt nummer på alle opkald der ikke laves mellem 2 kunder på eget netværk, men ville det ikke være lidt ærgeligt, hvis der stod ukendt nummer hver gang du modtog opkald fra personer der ikke havde det samme mobilselskab om dig ?

  • 4
  • 0
Kristian Thy

En mulighed er selvfølgelig af skrive ukendt nummer på alle opkald der ikke laves mellem 2 kunder på eget netværk, men ville det ikke være lidt ærgeligt, hvis der stod ukendt nummer hver gang du modtog opkald fra personer der ikke havde det samme mobilselskab om dig ?

Man kunne eventuelt lade mig selv vælge om jeg foretrækker ukendt nummer eller spoofing, i stedet for at firmaet vælger at udsætte mig for den her risiko. Men det er jo desværre ofte set at convenience trumfer sikkerhed.

  • 0
  • 0
Hans Nielsen

Der er legitime anvendelser, som fx at man viser et firmas hovednummer og ikke afslører en ansats direkte nummer når der ringes ud.


Det er nu ikke altid en fordel.
Skjult nummer må være løsningen, hvis man ikke vil have sit nummer med ud.

Prøv at ringe til Microsoft, SKAT eller Telias hovede nummer, og fortæl at de har ringet til dig, hvad vil de dig ?

Hvis man bruger SIP er det ikke et problem med lokal nummer.

Snare tvært imod. Hvis jeg sætter ID i mit SIP telefoncentral, så ser dem der modtager opkladet det nummer jeg har skrivet. Næsten udanset hvad for en udbyder jeg ringer til, det nummer jeg siger der skal vises.

Det var godt nok, da der kun var store monopoler som stolet på hinanden. Ikke idag, hvor erhvert kan drive sin egne telefoncentral, med udbryder fra hele verden.

Feks, er det billigst hvis man ringer meget til USA, at købe et amrikansk SIP nummer, med udbegrænset opkald inden for USA for få kr. Så kan de også ringe til dig gratis.

Desuden er man jo et verdensfirma, når man har afdeling i USA, Japan og Tyskland.

  • 0
  • 0
Log ind eller Opret konto for at kommentere