En TDC-kunde i Aarhus havde i månedsvis adgang til en anden families personlige oplysninger på sin TDC-selvbetjeningsside. Og Mortens historie er ikke enestående. Fem ud af ni mobilselskaber udleverer private oplysninger, hvilket de ikke må.
»Man kan jo bruge de her oplysninger til at lege en anden person.« Sådan siger Morten Sørensen fra Aarhus, som pludselig fik adgang til abonnementer, opkaldslister og regninger, som i virkeligheden tilhørte en familie i Skjern.
Da 51-årige Morten Sørensen for nylig loggede ind på sin selvbetjeningsside mit.tdc.dk, kunne han ikke længere se sit kundenummer eller sine abonnementer. Derimod kunne han se tre telefonnumre til en familie i Skjern, deres kundenummer og deres abonnementer.
Det får du i denne PLUS-pakke:
- Alvorlig sikkerhedsbrist i TDC: Morten fik fri adgang til fremmed families private oplysninger
- Dit mobilselskab sløser med sikkerheden
- Vi har testet sikkerhden: Så langt går dit teleselskab
- Har ikke oplevet det før
Opret abonnement på BT PLUS og læs Morten Sørensens historie om hvordan teleselskaberne sløser med sikkerheden.
»Man kan jo bruge de her oplysninger til at lege en anden person.« Sådan siger Morten Sørensen fra Aarhus, som pludselig fik adgang til abonnementer, opkaldslister og regninger, som i virkeligheden tilhørte en familie i Skjern.
Da 51-årige Morten Sørensen for nylig loggede ind på sin selvbetjeningsside mit.tdc.dk, kunne han ikke længere se sit kundenummer eller sine abonnementer. Derimod kunne han se tre telefonnumre til en familie i Skjern, deres kundenummer og deres abonnementer.
»Første gang jeg loggede ind, troede jeg, at det var løgn. Jeg loggede ind og ud et par gange, men det var det samme, der skete. Jo mere jeg surfede rundt og opdagede, at det ikke var mine oplysninger, des mere skræmmende blev det,« siger Morten Sørensen, der qua sit job som journalist ikke ønsker sin rigtige identitet frem.
Nyt simkort
På sin selvbetjeningsside kan han redigere i den anden families bredbåndspakke, han kan bestille et nyt simkort, aflytte telefonsvarer-beskeder - hvis familien har aktiveret sin voicemail. Han kan se deres Puk-koder til deres mobiltelefoner og benytte deres TDC Play til at høre musik og leje film. Men hvad værre er: Han kan ændre familiens mailadresse til sin egen uden nogen form for sikkerhedsforanstaltning. Og han kan ændre det mobilnummer, som adgangskoden til selvbetjeningssiden i fremtiden skal sendes til. På den måde kan han i virkeligheden overtage familiens side og foretage ændringer i familiens abonnement, uden at familien bliver advaret.
Teleekspert Torben Rune, der er stifter af rådgivningsfirmaet Netplan og har 30 års erfaring fra telebranchen bag sig, kalder sikkerhedsbristen både krænkende og farlig.
»At få adgang til andres data på den her måde er meget krænkende, netop fordi det kan gå helt galt. I det her tilfælde er manden, der opdager fejlen, ærlig, og han begynder ikke at sælge de her oplysninger til alle mulige. Men en dag gøres opdagelsen ikke af en ærlig dansker - så sidder der en kriminel i udlandet, som har meget større gevinst ved at omsætte de her data ved bedrageri,« siger Torben Rune, der til daglig lever af at rådgive den danske teleindustri.
Morten Sørensen har dokumenteret, hvad han kan se af oplysninger, som tilhører den anden familie, men har af hensyn til familien undladt at åbne personlige papirer med forbrugslister og regninger.
For at afprøve, hvor langt man egentlig kan komme på TDCs selvbetjeningsside, har BT i stedet lånt en anden families TDC-abonnement og fået samtykke til at redigere i det for at efterprøve Morten Sørensens erfaringer.
Købte mobilt bredbånd
Vi har også undersøgt, hvor meget man egentlig kan få lov til at ændre og købe hos TDCs kundeservice, hvis man kun er i besiddelse af et kundenummer.
Med det i hånden fik vi uden yderligere spørgsmål og krav om identifikation både redigeret i abonnementet og tilkøbt produkter som mobilt bredbånd via TDCs Kundeservice.
Når en tele-kunde som Morten Sørensen overhovedet får adgang til en anden families data, så er det et sikkert tegn på, at der ikke er styr på sikkerheden hos TDC. Det mener den selvstændige og mangeårige it-sikkerhedsekspert Poul-Henning Kamp, som til daglig skriver for Ingeniøren og it-magasinet Version2.
»Det er en klassisk fejltype, lidt som at finde rottelort i en fødevarevirksomhed. Det er et sikkert tegn på, at de ikke har styr på tingene. Det er ikke ret lang tid siden, at der var en dame, der kunne se en anden dames rejsekort på sin hjemmeside. Det er naturligvis ingen undskyldning, og der burde være indberetningspligt til datatilsynet og en sur smiley for den slags,« mener Poul-Henning Kamp.
Sikkerhedshuller
Faktisk er det muligt for TDC og andre teleselskaber at sikre sig mod den form for sikkerhedshuller, som Morten Sørensen opdagede, og som typisk handler om fejl i systemerne.
»Det er vigtigt, at man lader sine systemer teste af f.eks. en tredjepartsvirksomhed. Men det er dyrt, det er besværligt, fordi man skal have udstedt en garanti for, at der ikke er huller, og det kræver, at man undersøger alt, stolpe op og stolpe ned. Det burde virksomheder måske i virkeligheden bruge mere energi på at gøre,« siger tele-ekspert Torben Rune.
BT har været i kontakt med familien fra Skjern, som ikke ønsker at medvirke i denne artikel. Herfra lyder det, at man har en forventning om, at TDC retter fejlen.
