Tele2 blev advaret om sikkerhedshul

Den pinlige sag, hvor 50.000-60.000 nordmænd mistede deres identitet, ved at svagheder ved altinn.no og tele2.no blev udnyttet, kunne have været undgået. Det skriver norske Computerworld.

Allerede tilbage i november sidste år bad det norske Datatilsyn om at få en redegørelse for norske Tele2's brug af CPR-numre. Kunder havde nemlig klaget over Tele2's praksis, hvor man kunne få adresser oplyst ved blot at indtaste CPR-numre. På den måde kunne man via Tele2's tjeneste få tjekket, hvem et CPR-nummer tilhørte.

Men i starten af januar denne vinter svarede Tele2, at hackeres IP-adresse ved fejltastning ville blive udelukket fra servicen i en time. Dermed skulle det ikke være muligt at generere en masse tilfældige CPR-numre og så efterprøve dem på Tele2's side. Desuden fortalte Tele2, at det var nødvendigt at tjekke, om kundens adresse var den rigtige.

I et svarbrev fire måneder senere skriver Datatilsynet, at sikkerheden fortsat ikke er god nok. Det begrundes blandt andet med, at mange internetbrugere i dag har dynamisk IP-adresse eller kender til proxy-teknologier, der kan snyde sikkerhedssystemet.

Derefter bliver begge parter enige om at mødes den 16. august, altså i går. Det var bare for sent, da det hackeren i august måned fik fat på de personlige oplysninger på 50.000-60.000 nordmænd.

Da tyveriet blev kendt, gik der kun en dag til at sikkerhedshullet på Tele2's side blev lukket.

Tele2 godtager delvist kritikken. Markedsdirektør Christian Sæterhaug fra Tele2 i Norge fortæller, at det var kritisk, at Tele2 ikke gjorde noget, men har det forbehold, at Tele2 ikke fik et direkte påbud fra Datatilsynet.

It-sikkerheden skal styrkes, mener Professor Kjell Jørgen Hole fra Bergen Universitet. Han viste sammen med doktorgradsstipendiat André Klingsheim, hvordan selv amatørprogrammørere kan udføre identitetstyveri.

Kjell Jørgen Hole mener, at de norske statslige tilsyn skal have stærkere virkemidler, fordi breve let kan blive ignoreret.