Yousee: It-fejl sendte tusinder af hemmelige numre til åben nummeroplysning

20. juni 2018 kl. 10:0310
Yousee: It-fejl sendte tusinder af hemmelige numre til åben nummeroplysning
Illustration: Bigstock.
Direktør for bredbånd og tv i YouSee, Jacob Mortensen, oplyser, at datalækket er anmeldt til Erhvervsstyrelsen.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Da Yousee ‘ved en fejl’ flyttede 10.000 fastnetkunders hemmelige numre og/eller adresser fra et lukket it-system over i deres åbne database 118.dk, hvor de har ligget til fri afbenyttelse i helt op til 11 uger, var det på grund af ‘en it-fejl’, oplyser selskabet i en mail til Version2.

Derudover svarer direktør for bredbånd og tv i YouSee, Jacob Mortensen, på mail på en række af spørgsmål, som vi ikke kunne give i vores tidligere artikel i dag.

I siger, at I opdager fejlen på grund af kundehenvendelser? Hvornår kommer henvendelserne, hvor mange ringer og hvad siger kunderne?

»På baggrund af den første kundehenvendelse lavede vi en intern kontrol af data og identificerede fejlen. Det har været et begrænset antal henvendelser, men hovedparten af de berørte kunder har heller ikke været bevidste om det.«

Artiklen fortsætter efter annoncen

»Kunderne har for hovedparten taget det pænt, selvom vi har begået denne beklagelige fejl. Men der er da også nogle, der har fundet det ubehageligt, og det har jeg fuld forståelse for.«

Derfor ringer vi stadig rundt så længe efter

I kontakter kunderne to en halv uger efter, hvorfor først nu?

»Vores første fokus var at rette op på fejlen og derefter sikre, at de udeladte numre og adresser ikke fremgik længere, hvilket i øvrigt også har været hensyn, som Erhvervsstyrelsen har lagt vægt på i vores dialog med dem om håndtering af sagen.

Den 29. maj havde vi tilstrækkelig sikkerhed for, at oplysningerne ikke længere fremgik af de nummerdatabaser, vi kender til. Derefter forberedte vi kontakt til alle berørte kunder, som vi begyndte at ringe til den 6. juni. Der er tale om mange tusinde telefonkald, så det tager tid at forberede og få på plads, inden man kan gå i gang med opkaldene.«

Beklagelig fejl

En af mine kilder spørger, om I mener, abonnementet er en rimelig kompensation for at i offentliggør deres private informationer?

Artiklen fortsætter efter annoncen

»Det er et helt fair spørgsmål, og vi har selvfølgelig også overvejet, hvordan vi skulle gribe det an. Vi har tilbudt kunderne, at de uden beregning har kunnet få et andet nummer, hvis de var bekymrede for at fortsætte med deres eksisterende telefonnummer, og så har vi samtidig tilbudt dem en måneds gratis abonnement.

Vi synes, at det er et plaster på såret. Men det ændrer ikke på, at det er en beklagelig fejl, som jeg kun kan undskylde.«

I skriver i en af jeres første mails, at I har lært noget. Hvad har I lært?

»Der har været nogle interne processer, som har haft behov for et eftersyn og for at blive strammet op. Eksempelvis flere og bedre interne kontroller ved datamigreringer mellem it-systemer.«

Har I informeret Datatilsynet?

»Vi har informeret Erhvervsstyrelsen, som er den relevante myndighed i forhold til denne sag.«

Derfor blev data malplaceret

Og hvordan skete det at de mange data endte det forkerte sted? Det er jo ikke et hvilket som helst sted, de ellers hemmelige data er landet. De er landet i en effektiv søgemaskine.

»Nej, det er en meget ærgerlig fejl fra vores side. Vi – og andre teleoperatører – skal indberette kontaktoplysninger som telefonnummer og adresse til Nummeroplysningen, men udeladt nummer og adresse skal selvfølgelig ikke være tilgængelig i databasen.

Artiklen fortsætter efter annoncen

I den her sag opstod fejlen, da vi internt flyttede kunder fra et it-system til et andet. Vi fik pga. en it-fejl ikke med i overførslen, at nogle kunder havde valgt udeladt nummer og/eller adresse. Det medførte, at disse data blev sendt til Nummeroplysningen og gjort tilgængelige i en periode.«

Svarene - som Version2 har fået på mail - og læsernes kommentarer har givet anledning til flere spørgsmål, som vi har sendt til Yousee.

Opdateret med svar fra Yousee, 20.06.18:

Hvorfor sender I ikke sideløbende en mail ud for at sikre, at folk får besked hurtigst muligt?

»Vi har vurderet, at ringe direkte til kunderne er den bedste måde at give besked på, da kunderne kan have spørgsmål eller ønsker, som vi skal tage stilling til. Eksempelvis hvis de ønsker at skifte nummer som følge af hændelsen. Lykkes det os ikke at komme igennem efter fire til fem forsøg, sender vi en mail.«

Hvorfor vælger I løsningen med at ringe rundt?

»Vi har vurderet, at ringe direkte til kunderne er den bedste måde at give besked på, da kunderne kan have spørgsmål eller ønsker, som vi skal tage stilling til. Eksempelvis hvis de ønsker at skifte nummer som følge af hændelsen. Lykkes det os ikke at komme igennem efter fire til fem forsøg, sender vi en mail.«

En læser oplevede at have svært ved at blive slettet fra 118.dk som kunde hos jer. Har I tidligere haft problemer med skillevæggene mellem systemerne?

»Nej, der har ikke været et generelt problem tidligere. Jeg skal ikke kunne sige, hvad der er op og ned i den nævnte sag, da jeg ikke kender detaljerne. Alle teleselskaber skal indberette nummer og adresse til Nummeroplysningen, med mindre kunder ønsker de detaljer udeladt. Hvis vi eksempelvis markerer et fastnetnummer eller en adresse skjult hos en kunde, kan personen stadig fremgå, hvis han eller hun har en mobiltelefon andetsteds.«

10 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
10
22. juni 2018 kl. 07:32

Men, men... Hvis YouSee bare siger "Ja, det er slettet alle steder", selvom de ikke har styr på noget, så er det op til skadelidte at bevise det ikke er rigtigt. Good luck with that.... K

Har YouSee styr på hvilke databureauer, som har høstet data fra 118 i den periode hvor de beskyttede oplysninger var tilgængelige?
Disse bureauer lever af at videresælge data og det betyder at disse data, nominelt set er spredt ud til en større modtagerkreds.

9
21. juni 2018 kl. 10:08

Har YouSee styr på hvilke databureauer, som har høstet data fra 118 i den periode hvor de beskyttede oplysninger var tilgængelige? Disse bureauer lever af at videresælge data og det betyder at disse data, nominelt set er spredt ud til en større modtagerkreds.

7
20. juni 2018 kl. 14:18

Ok, Kristian Klausen. Det er muligt, at jeg har misforstået det med de 2 1/2 uge.

6
20. juni 2018 kl. 13:32

Men vi ved ikke hvornår fejlen er blevet opdaget, kun at de den 29. maj var sikre på at problemet var løst (

Nu har databasen været på nettet. SÅ der er ingen som kan sikker sig at data er slettet fuldt og helt alle steder. Enten kan nogle have slået adr op. Eller så har et marketingsfirmaer sikkert stadig en kopi liggende et eller andet sted, for en sikkert skyld .

Men derfor kan man stadig kræve YouSee til direkte til ansvar, for alle følge udgifter på grund af slendrian og manglende kontrol med data. Som salg af bolig, flytning, personlig vagt. Eller hvad der nu kan komme ud af at personer, som af en eller anden grund er adr. beskyttet, får lagt deres data på nettet.

5
20. juni 2018 kl. 13:31

Vi ved det sådan ca., for følgende fremgår af artiklen:
"I kontakter kunderne to en halv uger efter, hvorfor først nu?"

I den forrige artikel er der et tweet fra den 18. juni, som jeg antager er der de to en halv uge kom fra (29.maj - 18. juni). Så vi ved kun at de var sikre på at problemet var løst den 29. maj, at de begyndte at ringe til de første kunder den 6. juni og at i hvert fald en kunde først er blevet kontaktet den 18. juni. Men stadig ikke hvornår fejlen blev opdaget.

Den 29. maj havde vi tilstrækkelig sikkerhed for, at oplysningerne ikke længere fremgik af de nummerdatabaser, vi kender til. Derefter forberedte vi kontakt til alle berørte kunder, som vi begyndte at ringe til den 6. juni.

4
20. juni 2018 kl. 13:22

Tak for svar, Kristian Klausen.

Men vi ved ikke hvornår fejlen er blevet opdaget,

Vi ved det sådan ca., for følgende fremgår af artiklen:"I kontakter kunderne to en halv uger efter, hvorfor først nu?"

I mine øjne er 2 1/2 uge lang tid - man kunne vel godt have kørt to spor, og fra starten have forberedt information til kunderne, så snart det var muligt/forsvarligt?

3
20. juni 2018 kl. 13:10

Hvis man straks var gået ud med orientering til kunderne, ville der så være en reel risiko for, at data stadig lå tilgængelige online?

Det tager sikkert ikke særlig lang tid at slette dataene fra 118.dk, men oplysningerne skal også slettes fra alle de andre databasser der trækker fra 118.dk (Krak, De Gule Sider, m.m.?) samt services der har cachet siden (f.eks. Googles cache af siden). Det kan jo nok godt tage en dag eller to (måske?), hvis du skal vente på at de trækker nye data eller på at cachen udløber.

Men vi ved ikke hvornår fejlen er blevet opdaget, kun at de den 29. maj var sikre på at problemet var løst (slettet fra alle kendte nummerdatabaser). Hvor lang tid har det mon taget at rette fejlen?

2
20. juni 2018 kl. 12:18

.. og beder om yderligere svar. Jeg fatter nemlig stadig ikke dette:"»Vores første fokus var at rette op på fejlen og derefter sikre, at de udeladte numre og adresser ikke fremgik længere, hvilket i øvrigt også har været hensyn, som Erhvervsstyrelsen har lagt vægt på i vores dialog med dem om håndtering af sagen. Den 29. maj havde vi tilstrækkelig sikkerhed for, at oplysningerne ikke længere fremgik af de nummerdatabaser, vi kender til. Derefter forberedte vi kontakt til alle berørte kunder, som vi begyndte at ringe til den 6. juni. "

Er det teknikerne selv, der sidder og ringer rundt til 10 000 kunder? Næppe. Så man kunne vel gået være gået i gang samtidig med, at man ledte efter og udbedrede fejlen, så kunder i fare kunne nå at tage måske afgørende forholdsregler.

Og skal det virkeligt tage en uge at nå fra "Nu ligger numrene ikke mere tilgængelige" til "Nu ringer vi til de 10 000 kunder"? Det fatter jeg ikke - det må vel antages at være en ret akut sag, og man behøver vel ikke i første omgang sige andet til kunderne, end at de pga. af en indtruffen fejl ikke kan stole på beskyttelsen mere. Så kan man jo uddybe senere.

Forløbet giver ingen mening i mine ører. Det er latterligt. Tænk, hvis nogen var kommet i fare/knibe for alvor - så ville Yousee forhåbentligt kunne drages direkte til ansvar for ikke at have forebygget i tide.

Og hvornår orienterede man Erhvervsstyrelsen? Har de virkeligt sagt god for denne fremgangsmåde? I så fald bliver jeg meget bekymret for, hvad vi ellers kan blive udsat for af ulykker fremover. Det virker som om, man ikke helt har fattet situationens alvor.

Eftertanke: Hvis man straks var gået ud med orientering til kunderne, ville der så være en reel risiko for, at data stadig lå tilgængelige online? I så fald er det jo et reelt problem ved at orientere - men da meget betænkeligt, at det tager så lang tid at tjekke. Hvordan kan det tage så lang tid? Burde man så ikke i stedet helt have lukket basen ned, indtil sagen var fixet?

1
20. juni 2018 kl. 11:28

Har I informeret Datatilsynet?

»Vi har informeret Erhvervsstyrelsen, som er den relevante myndighed i forhold til denne sag.«

Er vel ikke overholdt på ret mange måder ?

Er der ikke nogle som er berørt som kan lave en anmeldelse, og kan V2 ikke høre datatilsynet, Mener da at YouSee har en fornuftigt opsætning.

En god bøde vil nok betyde at der kommer styr på deres data, så ligende fejl ikke opstår igen. Hvis det ikke sker mere, så er det jo stadig billigst, ikke at gøre noget.

De kan måske også få lov til at betale flytning til de personer, som måske igen skal frygte for deres liv, da deres opholdssted er kendt af bander, familier tillige samlever, ..