Yousee lækker 10.000 hemmelige numre og adresser på offentlig søgemaskine

Illustration: TDC
Det er endnu uvist, hvordan selskabets digitale flyttemænd lykkedes med at flytte de mange danskeres hemmelige informationer i søgemaskinen 118.dk.

Yousee har ‘ved en fejl’ flyttet 10.000 fastnetkunders hemmelige numre og/eller adresser fra et lukket it-system over i deres åbne database 118.dk, hvor de har ligget til fri afbenyttelse i helt op til 11 uger.

Da Yousee opdager fejlen i maj, fjerner selskabet informationerne fra siden og selskabet er i skrivende stund i gang med at ringe til alle de berørte for at informere dem om, at deres ellers skjulte oplysninger har ligget til offentlig skue og for at informere dem om en eventuel risiko.

Der kan da også være ganske alvorlige grunde til at man skjuler sit nummer og adresse for omverdenen. En voldelig ekskæreste, uønsket opmærksomhed for kendisser eller slet og ret et ønske om en større grad af privatliv.

Selv skjulte jeg, Version2's journalist, i en årrække mit nummer og min adresse, fordi jeg planlagde at vidne mod en mand, som jeg vidste havde rocker-relationer.

Hvis mit telefonselskab dengang ikke havde holdt tæt med min adresse, kunne det have haft betydelige konsekvenser.

Yousee krænker frihedsretten

At der netop er tale om informationer, de berørte har bedt om at få skjult gør det ekstra kritisabelt. Også juridisk, fortæller den GDPR-specialiserede advokat Jacob Naur fra Hejm advokater:

»GDPR handler i grunden om at sikre folks frihedsret. Når man offentliggør informationer, der aktivt skulle holdes skjult for at beskytte den ret, så krænker man virkelig frihedsretten og dermed GDPR,« lyder det entydigt fra advokaten, der håber, at Yousee har meldt lækket til Datatilsynet.

Og at de har en rigtig, rigtig god forklaring.

»De skal dælme kunne svare ordentligt for sig, for de har en rigtig dårlig sag. Det her må bare ikke ske, det er for tosset,« siger Jacob Naur.

Yousee har ikke svaret på, om de har anmeldt hændelsen til Datatilsynet endnu og ønsker ikke at stille op til interview. Selskabet skriver dog i et skriftligt svar til Version2, at fejlen skyldes, at man skulle flytte de mange data fra ét it-system til et andet.

Herefter har Yousee svaret på nogle af Version2’s spørgsmål, men har endnu ikke forklaret, hvordan selskabets digitale flyttemænd lykkedes med at flytte 10.000 danskeres hemmelige informationer over til det digitale svar på en telefonbog.

Yousee: Et tilbageslag

»Vores kunder har betroet os deres kontaktinformationer, og de forventer med rette, at vi kan behandle data fortroligt. Vi beklager dybt, at vi ikke har levet op til dette. Hændelsen er et tilbageslag for os, fordi vi løbende investerer i beskyttelse af vores kunders data,« skriver direktør for bredbånd og tv i YouSee, Jacob Mortensen, i en mail til Version2.

Yousee skriver desuden, at de har lært noget af episoden, men har endnu ikke forklaret over for Version2, hvad de har lært.

Fejlen blev rettet den 29. maj, skriver Yousee. Alligevel går der mere end to uger før en twitterbruger skriver, at han er blevet ringet op og informeret om fejlen, og desuden er blevet kompenseret med en måneds gratis bredbånd.

Selv udtrykker han dog tvivl omkring hvorvidt han nogensinde får gavn af den kompensation.

Hvorfor der går så længe fra Yousee opdager fejlen til Kamran Sawar ringes op, har Yousee ikke svaret på.

Beskeden kompensation

Version2 er ikke de eneste, der har ubesvarede spørgsmål til Yousee. I den samme tråd på Twitter skriver Alex Holst, der til daglig blandt andet rådgiver virksomheder om GDPR, at han undrer sig over værdien af kompensationen;

Yousee oplyser dog, at brugerne udover en måneds gratis bredbånd har fået et tilbud om at skifte nummer gratis. Om det samlet set er en fair kompensation, har Yousee ikke svaret på.

I et interview med Version2 uddyber Alex Holst, der til daglig arbejder med it-sikkerhed og blandt andet rådgiver virksomheder om GDPR, hvorfor denne sag er ekstra frustrerende:

»Det kan ikke passe, det skal være gratis at afsløre folks adresse, og det lader det jo til, at det er nu,« siger Alex Holst der peger på, at vi endnu ikke har set nogle bøder for overtrædelse af GDPR i Danmark.

Adresser kategoriseres som almindelige persondata.

»Det er som om, der skal lig på bordet før folk tager det her seriøst, så jeg håber at der kommer til at ske noget,« lyder det fra sikkerhedsmanden, der desuden har tilbudt en af de berørte at hjælpe ham med at formulere en klage til Datatilsynet. For den maksimale bøde ér skræmmende for virksomheder, fortæller han.

»Fire procent af den årlige omsætning - det er der ikke nogen, der har lyst til.«

Det ville vi gerne have haft svar på

Version2 har stillet Yousee en række yderligere spørgsmål, som selskabet ikke har haft mulighed for at svare på inden vores deadline. Udover de ubesvarede spørgsmål i artiklen ovenfor ville vi gerne have haft svar på følgende:

I skriver, at I opdagede problemet efter en række kundehenvendelser. Hvad siger kunderne til det her?

Hvad er jeres tanker om at I ikke opdager det her selv?

Hvordan kunne det her helt konkret ske og hvad har i gjort for at sikre, at det aldrig sker igen?

I kontakter kunderne to en halv uger efter lækket, hvorfor først nu?

I skriver, I har lært noget i jeres mail. Hvad har I lært?

Efter Version2's deadline er Yousee vendt tilbage med svar på de sidste spørgsmål. Svarene kan læses her.

Yousee oplyser endvidere, at man har informeret Erhvervsstyrelsen, som ifølge Yousee er den relevante myndighed i forhold til denne sag. Red.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (12)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Anne-Marie Krogsbøll

Hvorfor vælger man løsningen med at ringe rundt til folk? Er det udtryk for ekstra god service og omsorg for kunderne? Hvorfor har man ikke bare skrevet til dem, så alle kunne få besked med det samme - for det tager lidt tid at ringe til 10 000 personer, og det er jo faktisk en sag, hvor folk kan have brug for at få at vide meget hurtigt, at de ikke mere er beskyttede. Så i mine ører lyder det som en dårlig løsning. Har man håbet, at folk bare ville glemme det? Har man ikke villet give folk noget på skrift, som de kunne anvende mod selskabet?

Hvordan opdagede man det ? Det fremgår, at det ikke var Yousee selv, men (med mindre jeg har overset det) ikke, hvordan man så blev klare over det.

Hvis de ikke har anmeldt det til Datatilsynet, så grænser det nærmest til det kriminelle i en så alvorlig sag. Det er næsten ikke til at tro, at de skulle have snydt på det punkt.

Anders Lorensen

Hvis de ikke har anmeldt det til Datatilsynet, så grænser det nærmest til det kriminelle i en så alvorlig sag. Det er næsten ikke til at tro, at de skulle have snydt på det punkt.

Der burde være et sted hvor man kan se indberetninger...

Jeg har selv informeret 2 selskaber (Teleselskabet 3 og Yousee) for læk af personlige oplysninger, siden GDPR trådte i kræft. - Og fået et "Vi sørger for at indberette dette databrud til de rette, og skal naturligvis beklage fejlen mange gange" tilbage.

Men det vil være fedt hvis man kunne få bekræftet at de faktisk har gjort det.

Iøvrigt tog 3 det rigtig seriøst, hvor jeg var imponeret over deres seriøsitet.

Yousee derimod var en mere fesen fornøjelse, hvor de ikke engang bad mig om at slette det data de havde lækket til mig!

Hans Nielsen

GDPR
Har I informeret Datatilsynet?

»Vi har informeret Erhvervsstyrelsen, som er den relevante myndighed i forhold til denne sag.«

Er vel ikke overholdt på ret mange måder ?

Er der ikke nogle som er berørt som kan lave en anmeldelse, og kan V2 ikke høre datatilsynet, Mener da at YouSee har en fornuftigt opsætning.
https://www.version2.dk/artikel/yousee-it-fejl-sendte-tusinder-hemmelige...

En god bøde vil nok betyde at der kommer styr på deres data, så ligende fejl ikke opstår igen. Hvis det ikke sker mere, så er det jo stadig billigst, ikke at gøre noget.

De kan måske også få lov til at betale flytning til de personer, som måske igen skal frygte for deres liv, da deres opholdssted er kendt af bander, familier tillige samlever, ..

0 0

Henrik R Jørgensen

I artiklen citeres to personer, der angiveligt lever af at rådgive om databeskyttelse. Begge taler om GDPR og Datatilsynet, uagtet at sikkerhedsbrister vedrørende teledata er særreguleret i anden lovgivning samt henhører under Erhvervsstyrelsen.

Det er selvfølgelig ikke oplagt, hvis man kun kender GDPR - men kunne man ikke forvente mere af folk, der tager penge fra myndigheder og virksomheder for at rådgive om databeskyttelse?

Henrik P. Stougaard Nielsen

Min mor er psykolog, og derfor har vi altid haft hemmeligt nummer. Da jeg var barn fik jeg telefon, som stod registreret i hendes navn, som vi havde glemt at skjule. Jeg har derfor oplevet at blive ringet op af psykotiske patienter, som mangler medicin, eller som har det meget, meget dårligt. Det er ubehageligt, når både navn, telefonnummer, og adresse står tilgængeligt frit fremme på nettet.

Desværre har TDC aldrig været i stand til rent faktisk at holde numrene skjult, da de jævnligt dukker op igen på 118.dk. I hvert fald tjekker jeg en gang imellem, og hvor nummeret er dukket op på 118.dk, selvom der inde på selvbetjening står "skjult nummer" og "skjult adresse". Jeg har i hvert fald ikke tal på, hvor ofte de har fået et opkald herfra for at fjerne nummeret igen, så det er da dejligt, at GDRP endelig sætter fokus på problemet og tilmed lægger et meget stort ansvar på disse firmaer, for at tingene bare er i orden. Man flytter ikke "bare" ting fra et system til et andet, uden først at tjekke, at man flytter det rigtige, "bare" fordi man har lidt travlt og det skal gå hurtigt.

Thomas Bøge Nielsen

En reaktionstid på kun 11 uger og efterfølgende kontakt til de berørte er tilsyneladende ikke en service man kan regne med hos YouSee.

Omkring 1. maj orienterede jeg YouSee om en fejl i deres coaxmodems, så portforwardning lukkede op for alle sourceip'er selvom specifik ip var angivet. Brugere der i tillid til YouSee har benyttet denne funktion, har i virkeligheden lukket deres porte op for alle på hele internettet.

YouSee havde, så sent som 30. august endnu ikke fixet problemet, eller advaret de berørte brugere. Jeg har bedt om at få at vide, hvornår der er en rettelse i produktion, så igen i (nogenlunde) sikkerehed kan anvende portforwardning, men det har deres kundeambassadør afslået.

Det meste af historikken og en (lidt) uddybende forklaring fremgår af

https://forum.yousee.dk/coax-9/sikkerhedshul-sagemcom-102246/index1.html...

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017
Jobfinder Logo
Job fra Jobfinder