Fem ud af ni mobilselskaber udleverer private oplysninger, hvilket de ikke må
Kriminelle kan blot ved at få fingre i dit telefonnummer få personfølsomme oplysninger ud af dit teleselskab. Oplysninger, der potentielt kan bruges til at begå svindel med.
Dit mobilselskab går langt for dig. Så langt, at dets medarbejdere i kundeservice vil ændre din adresse, din mail og sende dig et nyt password til din selvbetjeningsside. Alene ved at få dit telefonnummer – og uden at tjekke, om det faktisk er dig, de taler med.
Størstedelen af alle danskere, der ejer en mobiltelefon, kan i dag styre deres abonnementer via teleselskabernes selvbetjeningssider. Man kan holde øje med sit forbrug, se sine regninger og granske sine sms- og opkaldslister. Og med få klik kan man redigere i sit abonnement, ændre sin mailadresse til en anden, bestille et nyt simkort og overdrage sit nummer til en helt anden person.
Personfølsomme oplysninger, som ingen andre end oplysningernes ejermænd burde have adgang til. Men i mange tilfælde sløser teleselskaberne med sikkerheden til selvbetjeningssiderne, så svindlere uden problemer kan få adgang til din personlige side og dine private oplysninger. Data, som svindlerne i værste fald kan misbruge til at købe mobil- og internetydelser i dit navn via dine kontooplysninger.
Videregav fortrolige oplysninger
BT har undersøgt, hvor langt man kommer hos teleselskabernes kundeservice, hvis man er i besiddelse af blot et navn og et telefonnummer. Vi har lånt ni personers telefonnumre og under samtykke forsøgt at ændre mest muligt i deres abonnementer ved at give os ud for at være dem.
I fem ud af ni tilfælde blev mobilselskabet taget i at give os oplysninger, som de ikke burde. Fire gange fik vi ændret den e-mailadresse, som var tilknyttet abonnementet, og i tre af tilfældene fik vi også fluks tilsendt et nyt password, så vi fik fuld adgang til kundernes selvbetjeningssider. Det gjaldt for TDC, Telia, Call Me samt YouSee Mobil, der tidligere hed Onfone.
Teleekspert Torben Rune rådgiver til daglig teleindustrien gennem sit firma Netplan, og han finder det stærkt problematisk, at vores mobilnummer og en e-mailadresse kan være nøglen til selvbetjeningssider, som rummer personfølsomme oplysninger om os.
»Det må slet ikke kunne ske. Man kan ikke gardere sig 100 procent mod fejl, men som virksomhed er man nødt til at indrette sine systemer, så man minimerer risikoen for indgreb til nogle få områder. Man må aldrig kunne angribe et kerneområde og gå direkte ind i maven på en anden families regninger, »siger Torben Rune.
Huller i sikkerheden
Hverken Telmore, Bibob, Fullrate, CBB eller det 3-ejede Oister ville ændre i selvbetjeningssiden, medmindre vi verificerede os med cpr-nummer eller kundenummer. Men netop tre af disse selskaber - Telmore, Bibob og Fullrate - blev taget med store huller i sikkerheden, da Radio24syv i maj sidste år undersøgte sikkerheden på samme måde. Dengang afviste CBB og 3 at ændre i selvbetjeningssiden, men Telmore, Bibob og Fullrate udleverede dengang personfølsomme data over telefonen, og disse selskaber har tydeligvis strammet op i dag.
Bristen førte samtidig til, at teleselskaberne måtte stå skoleret hos Erhvervsstyrelsen, som administrerer den danske telelovgivning og ser teleselskaberne efter i sømmene.
»Det skal være en sikkerhedsforanstaltning, hvor man sikrer sig, at man har fat i den rigtige i den anden ende, inden man begynder at ændre i personens abonnement og tilkøbe produkter. Det handler om, at der sidder nogle personer med et meget ivrigt service-gen, som gerne ville hjælpe nogle mennesker. Men det burde de ikke gøre,« fastholder kontorchef i Erhvervsstyrelsen Brian Wessel.
Tilbage i maj var tele-giganten TDC ikke blandt de undersøgte, det var derimod to af selskabets underselskaber Fullrate og Telmore, og det var TDC, som gik ud og beklagede og lovede, at det blev påtalt over for kundeservice-afdelingerne. Dermed skulle man mene, at det også gav anledning til at indskærpe sikkerheden i moderselskabet, men det er ikke tilfældet. Tværtimod lykkedes det ved flere forskellige opkald for BT at købe mobilt bredbånd, ændre adresse, mailadresse og få tilsendt nyt password til selvbetjeningssiden - alene ved at oplyse enten mobilnummer eller vores nuværende adresse. Ændrer man oplysninger i den rigtige rækkefølge, vil man kunne få tilsendt simkort, mobilt bredbånd og andre produkter til sin egen - eller en lånt - adresse, lade ofret betale via de registrerede betalingsoplysninger og ændre det hele retur igen:
»Vi har set eksempler med bedrageri på PayPal (betalingsløsning på nettet, red.), hvor de rigtig snu går ind og ændrer leveringsadresse, bestiller en vare, beholder kreditkortoplysninger, får deres varer og ændrer så adressen tilbage igen. Den slags sager er sindssygt svære at efterforske,« siger teleekspert Torben Rune.
Men generelt er vores selvbetjeningssider bundet op på alt for usikre login-oplysninger: E-mailadresser er nærmest offentligt tilgængelige, og password er alt for lette at knække, mener teleeksperten. Eller som BT dokumenterer det: lette at få udleveret.
Brug NemID
»De bruger jo dit telefonnummer som nøgle. Derfor skal både forbrugere og virksomheder indstille sig på, at det langtfra er tilstrækkeligt. Vi har i Danmark den unikke situation, at vi har et borger-identifikationssystem i form af NemID, og det bør vi i fremtiden bruge som sikkerhed, uanset hvilken forretning vi driver på nettet,« mener Torben Rune.
Når vi taler om sikkerhed hos kundeservice, så bør teleselskaberne i fremtiden sikre sig, at de taler med den rette ved at fremsende en kode på sms, som skal læses op, før man får lov til at ændre i sine personlige oplysninger, lyder forslaget fra både Torben Rune og Erhvervsstyrelsen.
Så langt går dit teleselskab
VI TESTER: Tjekker teleselskaberne overhovedet, om du er den, du giver dig ud for? Vil dit teleselskab ændre en e-mailadresse over telefonen? Vil de sende et nyt kodeord til den nye e-mailadresse?
Indskærper reglerne
Kundeservice-direktør i TDC Camilla Amstrup (taler også på YouSees vegne):
Hvorfor kan det her lade sig gøre hos jer?
Det burde heller ikke kunne lade sig gøre med de retningslinjer, der ligger. Vi har otte millioner henvendelser om året og kunder, der nogle gange bønfalder os - kan jeg se på de sociale medier. Derfor kan det ske, at medarbejderne alligevel vælger at hjælpe dem. I nogle sammenhænge omkring password og personfølsomme oplysninger skal vi kunne identificere vedkommende ved som minimum et kundenummer. Men vi har flere klager fra kunder, som er sure over, at vi ikke vil udlevere dem password, end vi ser det omvendte.
I blev kaldt til dialog af Erhvervsstyrelsen, da Radio24syv foretog et lignende forsøg tilbage i maj. Hvorfor er der her ni måneder senere ikke strammet op?
Det blev dengang indskærpet hele vejen rundt, og det er noget vi løbende følger op på. Som sagt har vi otte millioner opkald om året, og vi har dagligt kunder, der ringer ind og beder om hjælp. Vi er en stor virksomhed med rigtig mange medarbejdere, og der kommer hele tiden nye folk til. Der er medarbejdere, som i deres iver for at hjælpe sender de her oplysninger ud alligevel. Derfor går vi endnu en gang ud og indskærper det.
