Teleselskaberne 3 og Telia har efter flere uger ikke rettet op på den sløsede kontrol af identifikation, der betyder, at sim-kort til kunders eksisterende abonnementer uden videre kan udleveres til fremmede.
Det viser en stikprøve, som Version2’s journalister har foretaget tre uger efter, at selskaberne første gang blev advaret om problemerne efter en mere omfattende stikprøve foretaget af Version2 og Ingeniøren.
Læs også: Svindlerens drøm: Danske telebutikker udleverer sim-kort til eksisterende numre - helt uden at se ID
Her afslørede vi, at tre ud af fire selskaber udleverede aktive sim-kort til eksisterende numre uden at forlange den fornødne billed-ID. Eksempelvis pas eller kørekort.
Sådan en uretmæssig adgang til telefonnumre kan bruges til - uden andre værktøjer eller hackerfærdigheder - at nulstille passwords og få adgang til andres mailkonti, sociale medier, datingtjenester, backup-filer osv.
»Det lyder som en joke«
Afsløringerne ledte til undskyldninger fra selskaberne såvel som fra deres brancheorganisation, Teleindustrien.
Alligevel har selskaberne altså ikke rettet op på problemerne.
I den seneste stikprøve indgår kun et enkelt forsøg i en enkelt butik hos hvert af de tre selskaber, der oprindeligt havde sløset med sim-kortene. Nemlig 3, Telia og Telenor. Alligevel lykkedes det to ud af de tre butikker at dumpe testen. I allerførste forsøg.
»Jeg ved simpelthen ikke, hvad jeg skal sige. Jeg er virkelig overrasket,« lyder den umiddelbare reaktion fra it-sikkerhedsekspert og grundlægger af it-sikkerhedsvirksomheden Dubex, Jacob Herbst.
»Det lyder ... Det lyder som en joke, for at være helt ærlig. De lovede jo højt og helligt, at de ville rette op, og når I så kort efter kan gå ind og gøre det igen, tyder det på, at det ikke bliver prioriteret af selskabernes ledelser,« fortsætter han.
3 dumper på ny
I den seneste stikprøve - foretaget for omkring en uge siden - er der altså stadig problemer hos teleselskabet 3.
3 faldt også i den oprindelige stikprøve i med begge ben ved slet ikke at bede om ID, inden butiksansatte udleverede kundernes sim-kort.
I den seneste stikprøve spurgte medarbejderen Version2's journalist om ID og henviste til, at det var et krav. Da butikken fik at vide, at journalisten havde glemt sin pung, var det imidlertid stadig muligt at få udleveret et aktivt sim-kort mod at få oplyst adresse og CPR-nummer.
Teleselskabet afviser at stille op til interview om sagen, men beklager i en mail, at problemet kan gentage sig.
Gennem selskabets kommunikationsafdeling skriver 3’s direktør for privatmarkedet, David Elsass:
»Vi er meget ærgerlige over, at medarbejderen i den pågældende butik har valgt ikke at følge vores regler. Vi har stort fokus på dette i øjeblikket og har igangsat en række initiativer for at indskærpe reglerne og sikre forståelse for situationens alvor blandt alle butiksmedarbejdere.«
»Derfor kører vi nultolerance over for afvigelser fra reglerne, og denne sag får derfor ansættelsesretlige konsekvenser for den pågældende medarbejder.«
Forværret sikkerhed hos Telia
Også hos konkurrenten Telia er der fortsat problemer. I den oprindelige stikprøve udleverede tre af fire butikker et inaktivt sim-kort, som kunne aktiveres over telefonen ved hjælp af et CPR-nummer.
Denne praksis er ifølge Telias formelle forklaring ændret. Til gengæld udleverede den besøgte butik i den seneste stikpøve et aktivt sim-kort – og det helt uden at bede om personlige oplysninger eller identifikation.
»Vi er superærgerlige over, at det stadig kan lade sig gøre. For det første må det her slet ikke ske, og for det andet strider det direkte mod vores procedurer, der siger, at sim-kort kun må udleveres, hvis der vises ID og til den kontraktansvarlige,« siger Mads Houe, pressechef i Telia.
»Men der kan altid ske fejl, når personalet bestræber sig på at yde god service,« fortsætter Mads Houe. Han erkender dog, at det ikke er god service at få stjålet sit telefonnummer.
Endelig var Telenor med i den seneste stikprøve, men den besøgte butik udleverede ikke et sim-kort til vores journalist uden at se ID.
Yousee udleverede aldrig sim-kort i første omgang, hvorfor redaktionen ikke så grund til at kontrollere selskabet i denne omgang.
Forsøger at forbedre sikkerheden
Efter Version2’s seneste afsløringer bedyrer 3 og Telia, at de vil forbedre sikkerheden på området. Et lignende løfte blev dog afgivet i forbindelse med de oprindelige afsløringer.
Hos Telia betyder det, at procedurerne er blevet skærpet, så man ikke længere kan aktivere et sim-kort telefonisk.
»Vi har fulgt op over for distriktschefer, og samtlige butiksansatte vil også blive informeret igen, både mundtligt og skriftligt. Hvis vi selv havde fundet ud af det her, og vi vidste, hvilke butikker der var tale om, havde det ført til en personalesag,« siger Mads Houe.
»Vi lader det ikke være op til den enkelte medarbejder. Vi har nogle helt faste procedurer, som vi nu igen vil formidle og sikre, at butikspersonalet både forstår og efterlever. Det her er ikke et problem, man bare lige løser med at hænge en gul huske-lap op,« fortsætter Mads Houe.
Om 3 allerede har ændret noget efter den oprindelige afsløring, oplyser selskabet ikke, men der er nu ændringer på vej i selskabets it-system, skriver David Elsass.
»Vi må på baggrund af episoden konstatere, at det tager tid at ændre vores processer og sikre den fornødne opmærksomhed på problemet. Vi er om kort tid klar med en it-løsning, som gør, at medarbejderne ikke kan få adgang til en kundes data, før de har indtastet kundens pas- eller kørekortnummer,« skriver han.
Vil udvikle pop-up
Indtil den ordning er indfaset, skal medarbejdere i 3’s butikker nu »logge en sag«, hver gang de laver et opslag på en kunde. I denne log skal medarbejderen notere ID-nummeret på kunden.
»Og vi kommer til at føre tilsyn med disse logs fra hovedkontoret,« slutter mailen fra David Elsass.
Hos Telia havde man ikke overvejet at indbygge et sådant krav i it-systemet før Version2’s henvendelse, oplyser Mads Houe. Men efter Version2’s henvendelse har man nu igangsat udviklingen af en pop-up-boks, der skal minde ansatte om at se ID.
»Vi har selvsagt også andre it-projekter, så jeg ved ikke, om der går to uger eller to måneder, får løsningen er på plads,« siger Mads Houe imidlertid.
Se vores reaktion, da vi igen formår at stjæle vores egne telefonnumre, selvom teleselskaberne har haft tre uger til at rette op på problemet:
Video: Mads Lorenzen & Christian Østergaard