Tele-svigtet fortsætter: Efter tre uger kan du stadig få andres sim-kort på dit glatte ansigt

Illustration: Mads Lorenzen
Ny stikprøve afslører, at danske teleselskabers sløsede omgang med sim-kort stadig kan give adgang til andres telefonnumre og dermed mailkonti og sociale medier. Hos Telia og 3 var det således stadig muligt for Version2’s journalister at få udleveret aktive sim-kort på deres glatte ansigt – og det i første forsøg.
29

Teleselskaberne 3 og Telia har efter flere uger ikke rettet op på den sløsede kontrol af identifikation, der betyder, at sim-kort til kunders eksisterende abonnementer uden videre kan udleveres til fremmede.

Det viser en stikprøve, som Version2’s journalister har foretaget tre uger efter, at selskaberne første gang blev advaret om problemerne efter en mere omfattende stikprøve foretaget af Version2 og Ingeniøren.

Læs også: Svindlerens drøm: Danske telebutikker udleverer sim-kort til eksisterende numre - helt uden at se ID

Her afslørede vi, at tre ud af fire selskaber udleverede aktive sim-kort til eksisterende numre uden at forlange den fornødne billed-ID. Eksempelvis pas eller kørekort.

Sådan en uretmæssig adgang til telefonnumre kan bruges til - uden andre værktøjer eller hackerfærdigheder - at nulstille passwords og få adgang til andres mailkonti, sociale medier, datingtjenester, backup-filer osv.

Læs også: Sådan udnytter svindlere teleselskaber til at hacke danskere

»Det lyder som en joke«

Afsløringerne ledte til undskyldninger fra selskaberne såvel som fra deres brancheorganisation, Teleindustrien.

Alligevel har selskaberne altså ikke rettet op på problemerne.

I den seneste stikprøve indgår kun et enkelt forsøg i en enkelt butik hos hvert af de tre selskaber, der oprindeligt havde sløset med sim-kortene. Nemlig 3, Telia og Telenor. Alligevel lykkedes det to ud af de tre butikker at dumpe testen. I allerførste forsøg.

Læs også: Hackere kan overtage mailkonti hos Google og Microsoft alene via et telefonnummer

»Jeg ved simpelthen ikke, hvad jeg skal sige. Jeg er virkelig overrasket,« lyder den umiddelbare reaktion fra it-sikkerhedsekspert og grundlægger af it-sikkerhedsvirksomheden Dubex, Jacob Herbst.

»Det lyder ... Det lyder som en joke, for at være helt ærlig. De lovede jo højt og helligt, at de ville rette op, og når I så kort efter kan gå ind og gøre det igen, tyder det på, at det ikke bliver prioriteret af selskabernes ledelser,« fortsætter han.

3 dumper på ny

I den seneste stikprøve - foretaget for omkring en uge siden - er der altså stadig problemer hos teleselskabet 3.

3 faldt også i den oprindelige stikprøve i med begge ben ved slet ikke at bede om ID, inden butiksansatte udleverede kundernes sim-kort.

I den seneste stikprøve spurgte medarbejderen Version2's journalist om ID og henviste til, at det var et krav. Da butikken fik at vide, at journalisten havde glemt sin pung, var det imidlertid stadig muligt at få udleveret et aktivt sim-kort mod at få oplyst adresse og CPR-nummer.

Læs også: Kun teleselskabet kan redde dig fra simsvindel – men her er fire ting du selv kan gøre

Teleselskabet afviser at stille op til interview om sagen, men beklager i en mail, at problemet kan gentage sig.

Gennem selskabets kommunikationsafdeling skriver 3’s direktør for privatmarkedet, David Elsass:

»Vi er meget ærgerlige over, at medarbejderen i den pågældende butik har valgt ikke at følge vores regler. Vi har stort fokus på dette i øjeblikket og har igangsat en række initiativer for at indskærpe reglerne og sikre forståelse for situationens alvor blandt alle butiksmedarbejdere.«

»Derfor kører vi nultolerance over for afvigelser fra reglerne, og denne sag får derfor ansættelsesretlige konsekvenser for den pågældende medarbejder.«

Forværret sikkerhed hos Telia

Også hos konkurrenten Telia er der fortsat problemer. I den oprindelige stikprøve udleverede tre af fire butikker et inaktivt sim-kort, som kunne aktiveres over telefonen ved hjælp af et CPR-nummer.

Denne praksis er ifølge Telias formelle forklaring ændret. Til gengæld udleverede den besøgte butik i den seneste stikpøve et aktivt sim-kort – og det helt uden at bede om personlige oplysninger eller identifikation.

»Vi er superærgerlige over, at det stadig kan lade sig gøre. For det første må det her slet ikke ske, og for det andet strider det direkte mod vores procedurer, der siger, at sim-kort kun må udleveres, hvis der vises ID og til den kontraktansvarlige,« siger Mads Houe, pressechef i Telia.

»Men der kan altid ske fejl, når personalet bestræber sig på at yde god service,« fortsætter Mads Houe. Han erkender dog, at det ikke er god service at få stjålet sit telefonnummer.

Endelig var Telenor med i den seneste stikprøve, men den besøgte butik udleverede ikke et sim-kort til vores journalist uden at se ID.

Yousee udleverede aldrig sim-kort i første omgang, hvorfor redaktionen ikke så grund til at kontrollere selskabet i denne omgang.

Forsøger at forbedre sikkerheden

Efter Version2’s seneste afsløringer bedyrer 3 og Telia, at de vil forbedre sikkerheden på området. Et lignende løfte blev dog afgivet i forbindelse med de oprindelige afsløringer.

Hos Telia betyder det, at procedurerne er blevet skærpet, så man ikke længere kan aktivere et sim-kort telefonisk.

»Vi har fulgt op over for distriktschefer, og samtlige butiksansatte vil også blive informeret igen, både mundtligt og skriftligt. Hvis vi selv havde fundet ud af det her, og vi vidste, hvilke butikker der var tale om, havde det ført til en personalesag,« siger Mads Houe.

»Vi lader det ikke være op til den enkelte medarbejder. Vi har nogle helt faste procedurer, som vi nu igen vil formidle og sikre, at butikspersonalet både forstår og efterlever. Det her er ikke et problem, man bare lige løser med at hænge en gul huske-lap op,« fortsætter Mads Houe.

Om 3 allerede har ændret noget efter den oprindelige afsløring, oplyser selskabet ikke, men der er nu ændringer på vej i selskabets it-system, skriver David Elsass.

»Vi må på baggrund af episoden konstatere, at det tager tid at ændre vores processer og sikre den fornødne opmærksomhed på problemet. Vi er om kort tid klar med en it-løsning, som gør, at medarbejderne ikke kan få adgang til en kundes data, før de har indtastet kundens pas- eller kørekortnummer,« skriver han.

Vil udvikle pop-up

Indtil den ordning er indfaset, skal medarbejdere i 3’s butikker nu »logge en sag«, hver gang de laver et opslag på en kunde. I denne log skal medarbejderen notere ID-nummeret på kunden.

»Og vi kommer til at føre tilsyn med disse logs fra hovedkontoret,« slutter mailen fra David Elsass.

Hos Telia havde man ikke overvejet at indbygge et sådant krav i it-systemet før Version2’s henvendelse, oplyser Mads Houe. Men efter Version2’s henvendelse har man nu igangsat udviklingen af en pop-up-boks, der skal minde ansatte om at se ID.

»Vi har selvsagt også andre it-projekter, så jeg ved ikke, om der går to uger eller to måneder, får løsningen er på plads,« siger Mads Houe imidlertid.

Se vores reaktion, da vi igen formår at stjæle vores egne telefonnumre, selvom teleselskaberne har haft tre uger til at rette op på problemet:

Video: Mads Lorenzen & Christian Østergaard

Sponseret indholdSådan udfordrer DevOps din sikkerhed – og sådan løser du problemet
Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (29)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Troels Arvin

Jeg gik og overvejede at skifte tilbage til 3, fordi de har bedre selvbetjeningsløsninger end mit nuværende mobilselskab.

Men det her er jo helt galt. Hvis jeg skiftede til 3, ville jeg tilsyneladende være på herrens mark, hvis nogen skulle prøve at overtage mit telefonnummer.

At 3 stadig ikke har styr på dette er udtryk for meget stor disrespekt for kunder.

  • 8
  • 0
Anne-Marie Krogsbøll

Sådan uforståeligt sløseri kalder jo på overvejelser om, om der kunne være skjulte grunde til, at man er så fodslæbende - ud over, at man jo altså har myndighederne i snor, så der ingen bøder eller indgreb kommer som følge af lovovertrædelserne.

Så et vildt skud i tågen fra en aldeles ukyndig på området: Kan det tænkes, at disse sløve myndigheder har skjulte dagsordener (ud over alt efter temperament uduelighed/dovenskab/ressourcemangel/korruption) i form af, at det er en bagdør, som kunne tænkes at bruges til efterforskning (et formål som jo bevisligt overtrumfer al lovgivning og alle menneskerettigheder)? Eller har vore efterforskningsmyndigheder slet ikke behov for sådanne bagdøre, hvis der er nogen, de gerne vil krybe ind under huden og ind i privatsfæren på?

Der plejer at være kyndige folk her i forummet, som øjeblikkeligt kan skyde den slags ukyndige spekulationer ned.

  • 1
  • 9
Ole Laursen

Ja, det her kommer aldrig til at fungere. Jeg har fjernet telefonnummer fra de tjenester der har tigget om det, det her er alt for usikkert.

Ideen med at hardcode ind i systemet at man skal have et pas eller et kørekort - man kunne da umuligt forestille sig at det kunne give problemer...

  • 3
  • 0
Ole Laursen

Sådan uforståeligt sløseri

Ikke at det er nogen undskyldning, men jeg synes ikke det er helt uforståeligt. Det sker tilsyneladende sjældent, det går ikke umiddelbart ud over teleselskabet når det sker, og den lette løsning giver dårligere kundeservice.

Problemet her er snarere at tjenester fra selv store internetgiganter har brugt telefonnummeret som om det var sikkert, og dermed bragt folk i farezonen. Det er jo ikke folk selv der har fundet på at de skulle indtaste deres telefonnummer som recovery, det er tjenesterne som ikke vil have supporten på recovery. Går den, så går den. Indtil direktøren for Twitter bliver hacket...

  • 11
  • 0
Simon Mikkelsen

3 vil fyre den medarbejder der ikke har fulgt deres regler. De har et stort antal folk ude i butikkerne, der formegentlig ikke er de best lønnede i Danmark. De skal ikke alle have mulighed for at lave et SIM-kort ukritisk. De skal i stedet have et system der sikrer at de ikke bare kan lave et nyt SIM-kort. Telia er ikke meget bedre.

Hvis de lægger dette ansvar i hænderne på den enkelte medarbejder, er der for mange muligheder for at begå fejl, lade sig presse/true/bestikke eller ganske enkelt få jobbet for at lave SIM-kort til kriminelle indtil man bliver fyret.

  • 16
  • 0
Frithiof Andreas Jensen

i form af, at det er en bagdør, som kunne tænkes at bruges til efterforskning

Det tror jeg ikke.

Det kan väre at man fölger De Hellige NeoLiberale Dogmer om: "Al Regulering af Erhverslivet er Ondt og Dårligt, Det Modstatte Gälder Altid for Borgerne", men det er langt mere sandsynligt at det bare tager noget tid for det politiske system at 'spinne op', finde ud af at mene noget om sagen og hvad man i givet fald skal mene. Det er jo helt OK, synes jeg.

Myndighederne har jo allerede adgang til et standardiseret "Lawful Interception"-interface som er indbygget i alt teleudstyr og i de fleste större routere også. Man kan, naturligvis med de rette tilladelser og retskendelser, få sendt en kopi af alle data der udveksles mellem telenettet og en given mobil (eller computer), inklusive IMSI og alt muligt (så man selv kan klone SIM kortet henne på kontoret).

  • 6
  • 1
Klaus Seistrup

Hvornår lærer firmaer og andre instanser at CPR-nummeret i bedste fald er et brugernavn, og aldrig nogensinde en adgangskode.

Så vidt jeg ved har alle teleselskaber personnummeret på alle deres abonnenter. Kunne de ikke gøre som mange betalingskortudstedere gør: sende kortet til den til enhver tid gældende folkeregisteradresse. Så har man da sikret sig ift. de abonnenter der ikke har navne- og adressebeskyttelse.

  • 8
  • 0
René Larsen

Hvis jeg i dag ønsker at få et nyt SIM-kort eller bare vil ændre til et eSIM, skal jeg af med kr. 100 i gebyr hos 3 via deres Mit 3 Selvbetjening portal. Dette er nyt, men jeg ved ikke "hvor nyt" da jeg ikke har haft behovet for at undersøge det.

Men er dette så stadig gratis, hvis jeg bare går ned i en 3 butik ??

  • 4
  • 0
Louise Klint

Ja, når nu stat, myndigheder og Datatilsynet åbenbart intet kan stille op (eller ikke kan få hænderne op af lommerne) så må man jo tage sagen i egen hånd. Tak V2 :)

Hvis jeg skal være lidt opinionated, så synes jeg dels at: Det er grimt af 3 at tørre hele ansvaret af på medarbejderen. Selvom de måtte have givet en instruks, er det stadig et ledelsesansvar, vil jeg mene.

Omvendt mener jeg, at deres angiveligt kommende it-løsning på problemet er eneste farbare vej. Måske ikke så smart at registrere (og lagre) kundernes pas-/kørekortnummer, men en eller anden form for adgangsnøgle bør der være. Således ansvar og beslutning ikke er overladt til medarbejderen.

Jeg kan godt forestille mig, at det kan være svært for en ung medarbejder (sælger) selv at skulle sige fra over for kunden, hvis det blot er på en (muligvis blandt mange) henstilling ovenfra. Vedkommende er uddannet til at sælge, yde service, være fleksibel samt holde på kunderne, og i det umiddelbare øjeblik kan det måske være svært at gennemskue konsekvenserne af denne malplacerede service. (Sælger kigger måske også på kunden, prøver at tage bestik; han ser helt tilforladelig ud. Ligner ikke en østeuropæisk mafioso, eller lign. fx). Sælger er sandsynligvis også opvokset og opdraget i Danmark, Tillidssamfundet. Vi skal alle sammen have den ind med skeer: Fat det nu; der er nogen, der kan udnytte din tillid. Vi kan slet ikke forstå det. De færreste af os har prøvet det, vi kan ikke forstå det, det er ikke en mulighed.

Konklusion: En it-løsning bør være obligatorisk.

  • 7
  • 0
Anne-Marie Krogsbøll

"tre ud af fire selskaber udleverede aktive sim-kort til eksisterende numre uden at forlange den fornødne billed-ID. "

Er der nogen, der kan fortælle mig Lars Løkkes telefonnummer? ;-) Eller Thomas Borgens? ;-)

Eller måske Frederik Siegumfeldts? Mon det kunne sætte lidt skub i sagerne?

(selvfølgelig en joke - men på en alvorlig baggrund af myndighedssvigt)

  • 2
  • 2
Louise Klint

Et ID er jo netop afhængig af at man rent faktisk tjekker om billede og person passer sammen. Bare at kræve en registrering af ID, som hos banker oa. er jo ikke andet end staffage – bortset fra at bankernes udgave devaluerer billed-ID, og øger risikoen for svindel.

Ja, det er jeg fuldstændig enig med dig i. Selvfølgelig skal de tjekke ID. (Det så jeg som givent).

I dag er der ingenting. Ingen sikkerhedsforanstaltninger. Sim-kort kan udleveres uden forevisning af ID. Medarbejderen skal åbenbart ikke registrere/dokumentere noget, for at få adgang til data og udlevering. Der er ikke en ”forhindring” i it-systemet, som modvirker snyd/svindel/ubetænksomhed/menneskelige fejl. + Ledelsen kan placere hele ansvaret på medarbejderens skuldre. For alt ovennævnte ^^.

Det ser ikke optimalt ud fra min stol. It som en ekstra, indbygget sikkerhed. (Ikke hovedløs ”dokumentation”).

  • 1
  • 0
Palle Due Larsen

Indtil den ordning er indfaset, skal medarbejdere i 3’s butikker nu »logge en sag«, hver gang de laver et opslag på en kunde. I denne log skal medarbejderen notere ID-nummeret på kunden.

Nu er jeg ikke kunde hos 3, men hvor længe har de tænkt sig at opbevare folks kørekort eller pasnumre? Og hvem har adgang til dem? Var der ikke engang noget der hed GDPR?

  • 1
  • 0
Louise Klint

Min pointe er, at indbygget registrering af folks ID, ikke automatisk medfører at der udføres et egentligt ID-tjek, jvnf. bankernes håndtering. Og så er vi tilbage ved medarbejdernes håndtering, IT system eller ej.

Det er forstået. Min pointe har aldrig været, at det nødvendigvis skulle være registrering af ID.

Måske ikke så smart at registrere (og lagre) kundernes pas-/kørekortnummer, men en eller anden form for adgangsnøgle bør der være.

+efterfølgende kommentar.

Mao., du kommenterer på noget, jeg ikke har sagt/mener. Men det er okay.

  • 0
  • 0
Gert Madsen

Mao., du kommenterer på noget, jeg ikke har sagt/mener. Men det er okay.

Louise. Du skriver ovenfor at der bør være en obligatorisk IT-løsning til at håndtere det problem at man ikke sikrer sig at folk er, hvem de giver sig ud for at være. Det løser bare ikke problemet. Derfor er jeg uenig i, at en IT løsning giver mening. Igen kan jeg henvise til bankverdenen, hvor man opfinder en ny "Compliance-officer", hver gang nogen er blevet afsløret i at tilsidesætte al sund fornuft, for en hurtig gevinst. (Der har man så den "sidegevinst" at det tager livet af de irriterende småbanker, som gør det billigere end de store.) Folk, fra top til bund, skal være ansvarlige for det de gør. Og der skal være konsekvenser, når der trædes ved siden af. Selvfølgeligt i forhold til ansvar/placering i hierarkiet. Vi kan ikke blive ved at lægge lag på lag af bureaukrati, for at forhindre uansvarlige handlinger, hvad enten det er i form af organisation, eller IT.

  • 0
  • 0
Niels Danielsen

Nu er jeg ikke den stor tilhænger af at alt skal assosieres med ens CPR nummer, men nu er det besluttet at der skal tilknyttes CPR nummer til alle tele abomenter.

Problemet er bare at vi i Danmark ikke har nogen sikker måde til at bevise hvem vi er når vi besøger en fysk butik. Det er brug for for at kunne bevise hvem vi er over for foretnings drivende ifm. oprettelse af abomenter, eller lån. Ligeledes have vi brug for at underskrive elektronisk for indgåelse af en aftale/hæftelse. (Og senere at kunne bevise at en underskrift er falsk)

Til online brug har vi en nogenlunde brugbar løsning i NemID. Vi har brug for en løsning med en fysisk token(Ybikey, chipcard etc), samt en PIN kode. Systemet kan faktisk laves således at butikken ikke behøver at få CPR nummeret, men at staten får det.

  • 0
  • 0
Jesper Juul

Her er 3 lavpraktiske løsninger, som tilsammen kan stort set fjerne problemet.

1) Simkort skal altid bestilles via teleselskabets hjemmeside. Det skal ikke være muligt for en medarbejder at lave og udlevere et simkort for at være flink. 2) Før nyt SIM-kort udleveres, skal medarbejderen lige ringe til nummeret. 3)Når Sim-kortet udleveres, sendes der en besked til SMS, Email og E-boks om at et nyt sim-kort er udleveret.

  • 1
  • 0
Hans Nielsen

Her er 3 lavpraktiske løsninger, som tilsammen kan stort set fjerne problemet.

Men samtidigt så fjerner du muligheden for at 5-10% (?) af befolkningen kan få et kort ?

Det er jo ikke alle der har, SMS, Email ellr E-boks.

Jeg forstår ikke nummer 2 ?

Vil det sikkerst ikke bare være,

  • At man finder andre måder til 2 faktor indentifikation
  • At SIM kort altid, kun sendes til folkeadresse via brev.
  • 0
  • 1
Hans Nielsen

Mht 2, at der skal ringes til nummeret: Telefonen vil jo ringe hos nummerets rigtige ejer,

Du kommer for at få et kort, til et nummer hvor du har smidt SIM kortet væk ?

Hvis den rigtige ejer kan tage telefonen, så han han jo ikke brug for et nyt kort.

Og hvordan sikker du dig, at det er den rigtige ejer du taler i telefon med ? "ja, jeg er Poul Smith"

??? Igen, og ironien er slået fra.

  • 1
  • 2
Jesper Juul

Ah, vi taler forbi hinanden.

Scenariet vi vil forhindre er dette: Sim-kortet er slet ikke blevet væk, nummerets ejer har sin telefon stadig, men en svindler går ind i telebutikken og hævder at det er blevet væk.

Hvis ekspedienten i butikken prøver at ringe til nummeret, og telefonen bliver taget, vil det jo afsløre, at det drejer sig om svindel. Det er selvfølgelig ikke en 100%-løsning (hvad hvis telefonen ikke bliver taget, eller er stjålet etc..), men det er nok til at gøre det meget risikabelt at forsøge svindelnummeret.

  • 3
  • 0
Anne-Marie Krogsbøll

Tak for svar, Frithiof Jensen.

Myndighederne har jo allerede adgang til et standardiseret "Lawful Interception"-interface som er indbygget i alt teleudstyr og i de fleste större routere også. Man kan, naturligvis med de rette tilladelser og retskendelser, få sendt en kopi af alle data der udveksles mellem telenettet og en given mobil (eller computer), inklusive IMSI og alt muligt (så man selv kan klone SIM kortet henne på kontoret).

Min pointe var, at man på denne måde kan omgå kravet om dommerkendelse...

Men det kan dansk politi vel aldrig finde på...

  • 1
  • 3
Niels Danielsen

Vil det sikkerst ikke bare være, At man finder andre måder til 2 faktor indentifikation At SIM kort altid, kun sendes til folkeadresse via brev.

Ja, vi har brug for et 2 faktor indentifikation system, som f.eks. et ID kort med chip og PIN til erstatning for eksisterende sygesikrings kort.

At bruge folkeregister adresse er bedre end ingen ting, men der er også (tidligere?) forekommet misbrug ved at stjæle post, eller ændre post adresse.

  • 0
  • 0
Log ind eller Opret konto for at kommentere

Børneprofilering med kunstig intelligens bruger 70 registre i sideprojekt

7

Datalog-forening: Drop ansigtsgenkendelse i det offentlige og private

0

Kritik af ny lov: Google, Facebook og Twitter stopper data-udlevering til Hong Kong

0
Job fra Jobfinder
Webinars and Whitepapersopen_in_new
Webinar
Webinar
Øget effektivitet, fleksibilitet og muligheder for hjemmearbejde med Cisco Webex
Whitepaper
Whitepaper
The Ultimate Guide to Headless CMS
Webinar
Webinar
Webinar: Sådan forbereder du din virksomhed til remote working
Se flereopen_in_new
Jobfinder Logo
Upload dit CV
Få nye job via e-mail
Upload din jobannonce
Job fra Jobfinder