Telenor blottet kundenes e-post i flere dager

Hvem som helst kunne logge seg inn og lese andres e-post sist helg på Telenors djuice-portal.

Fra lørdag til mandag var det et digert, gapende hull i innloggings-rutinene på Telenors WAP-portal djuice.com.

Hullet gjorde at hvem som helst kunne velge et tilfeldig brukernavn og et hvilket som helst passord for å få tilgang til andres e-post-konti. En av digi.nos lesere valgte brukernavn "Jens", og kom rett inn i e-posten til en Telenor-ansatt med djuice-konto.
- Feilen ble oppdaget lørdag morgen, og oppstod ved restart av en server hos oss natt til lørdag. Feilen ble reparert mandag 20/8, skriver Hogne Gulla, senior produktsjef for "Communication and basic services" i djuice, i en e-post til digi.no.


"Jeg prøvde noen vanlige brukernavn og kom inn på absolutt alle, til og med "adsf". Prøvde "jens" og fikk opp liste over hans e-post. Dette var en telenor-ansatt som heter Jens Dreyer for han hadde uvanlig mange forwards fra Jens.Dreyer@telenor.com," skriver en leser som ble oppmerksom på problemet på søndag.

Han oppdaget det da han skulle logge seg inn på sin egen konto og kom inn med feil passord. Nå er han skeptisk til å overlate e-posten og bokmerkene sine til djuice.

- Vi har ingen indikasjoner på at noen har utnyttet informasjonen til djuice-brukerne, sier Gulla. Han understreker at Telenor ser svært alvorlig på slike feil, og at de vil gjennomgå sine rutiner for å hindre at feil som dette oppstår i fremtiden.

- Feil av slik karakter skal ikke oppstå, og vi håper at feilen ikke har ført til ubehageligheter for våre brukere, og derigjennom svekket tilliten til djuice, avslutter han.

Til toppen