Helt uden at kræve ID udleverer adskillige telebutikker et nyt sim-kort til dit telefonnummer til alle, der beder om det. Enkelte beder end ikke om dit navn, før de overdrager dit telefonnummer – og dermed din mailkonto og adgang til blandt andet sociale medier – til komplet fremmede.
Det viser en stikprøveundersøgelse, Ingeniøren har foretaget i københavnske butikker fra de fire store teleselskaber Yousee, Telia, Telenor og 3.
Særligt 3 skiller sig ud ved i flere tilfælde end ikke at spørge om navn eller forsøge at bede om ID. Modsat var det for Ingeniøren umuligt at få udleveret sim-kort fra Yousee uden at vise billed-ID. Hos Telia var det i flere tilfælde muligt at få et aktivt sim-kort, hvis du kunne offerets CPR-nummer, mens en Telenor-butik udleverede et sim-kort mod at få oplyst offerets navn og adresse.
Sårbarheden hos teleselskaberne er tidligere primært kendt fra udlandet, hvor angrebet kaldes sim-swapping. Angrebet er ikke blot kritisk, fordi enhver kan sende og modtage sms’er og opkald på dine vegne med dit sim-kort i hånden. Redaktionen blev opmærksom på, at en enkelt 3-butik udleverede et nyt kort uden at bede om ID. Vi undersøgte derefter en håndfuld butikker fra hvert af de fire teleselskaber, der har fysiske butikker: 3, Telia, Telenor og Yousee. Vi benyttede nyoprettede abonnementer såvel som egne eksisterende abonnementer. Ved henvendelse i butikkerne fortalte vi, at vi havde brug for et nyt sim-kort til et givent telefonnummer. I de tilfælde, hvor vi blev spurgt, oplyste vi navn og adresse, men fortalte, at vi ikke havde fået ID-kort med.Sådan gjorde vi
Telefonnummeret bliver også i stigende grad brugt som nøglen til dit digitale liv, i takt med at stadigt flere onlinetjenester bliver sikret med to-faktor-autentifikation og alternative kontaktmuligheder. I Ingeniørens egen test betød det, at mailboks, Tinder, Facebook og alverdens personlige oplysninger var i angriberens hænder allerede ti minutter efter han fik simkortet i hånden.
»Det her er eddermame rystende og skræmmende, både it- og samfundsmæssigt. Jeg ville forvente, at der blev passet meget bedre på vores telefonnumre,« siger Jacob Herbst, medstifter af it-sikkerhedsfirmaet Dubex, og han bakkes op af it-sikkerhedsspecialist hos Trend Micro Jesper Mikkelsen:
»Der er rigtig mange onlineaccounts, der er bundet op på telefonen. Hvis du først har sim-kortet, kan du benytte det til at nulstille og overtage andre konti. Det er både alarmerende og problemfyldt.«
Ulovlig praksis
Ifølge professor i teleret ved Copenhagen Business School Søren Sandfeld Jakobsen er det tilmed ulovligt, når teleselskaberne i Ingeniørens stikprøve udleverer sim-kort.
»Jeg mener, det er i strid med flere forskellige regler og dermed ulovligt. Alene ved at udlevere et sim-kort uden nogen form for kontrol er der sket et brud på persondatasikkerheden.«
Derudover er loven om net- og informationssikkerhed også brudt, når sim-kortet udleveres til de forkerte, vurderer han. To 3-butikker udleverede sim-kort uden at bede om hverken personoplysninger eller ID – de øvrige bad om ID. En Telenor-butik udleverede et sim-kort mod at få navn og adresse, de øvrige nægtede at udlevere uden billed-ID. De henviste alle til nylige sager med ID-svindel. En butik sagde endda, at en uge tidligere havde vores chancer været større grundet mindre fokus på problematikken. Flere Telia-butikker udleverede sim-kort uden at se billed-ID. Det skulle imidlertid efterfølgende aktiveres ved hjælp af CPR-nummer. En enkelt butik krævede billed-ID. Samtlige Yousee-butikker krævede billed-ID.Resultaterne
Hos 3, hvor to butikker har udleveret sim-kort til Ingeniøren uden at bede om ID, mener direktør for privatmarkedet David Elsass, at selskabets procedurer burde umuliggøre den slags angreb:
»Jeg tager det virkelig, virkelig seriøst, det her. Det lyder ikke godt, men vores regler på området er meget, meget klare. Når jeg taler med butiksfolk, er de ikke et sekund i tvivl om, at de skal tjekke ID.«
Samme besked lyder fra Telenor, hvor en enkelt butik udleverede et sim-kort mod at få oplyst navn og adresse.
»Vores procedure er, at vi altid skal se billed-ID ved sim-skifte. At det ikke er sket i dette tilfælde, er en alvorlig fejl,« skriver kommunikationschef i Telenor Lise Kirkegaard i en mail til Ingeniøren, efter selskabet har afvist at stille op til interview om sagen.
Men når selskaberne peger på deres procedurer, er det ikke nødvendigvis nok, vurderer Jacob Herbst:
»Al erfaring viser, at man ikke kan stole på, at en procedure bliver overholdt af den enkelte medarbejder. Som teleselskab burde man have et system, der støtter op om proceduren ved for eksempel at bede om kørekortnummer.«
Telia udleverede under stikprøven flere gange ikke-aktiverede sim-kort, der kunne aktiveres telefonisk med offerets CPR-nummer. Men heller ikke denne metode er tilstrækkelig, erkender Telia.
»Jeg synes i det hele taget, jeres resultater er bekymrende,« siger udviklingschef Frederik Hviid og tilføjer, at selskabet nu vil stramme op, så det kræver flere informationer at få aktiveret et sim-kort telefonisk.
Se den korte demonstration af vejen fra stjålet simkort til mailindbakke, der kan åbne op for alvorlige svindel- og privacyproblemer herunder:
Video: Mads Lorenzen
Artiklen stammer fra denne uges udgave af avisen Ingeniøren.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
