Avviket går ut på at det skal ha vært mulig å spore posisjonen til noen Telia-kunder gjennom enkle oppringninger. Denne muligheten er nå fjernet, ifølge Telia.
Sikkerhetsforsker Harrison Sand hos datasikkerhetsselskapet Mnemonic avdekket sikkerhetshullet sammen med NRK. Han forteller til Digi at testene de har gjennomført, tyder på at både den som ringte og den som ble oppringt måtte være Telia-kunder for at ringeren skulle kunne se hvilken basestasjon den som ble oppringt, var koblet opp mot.
Sand sier også at informasjonen ikke var direkte synlig på telefonen, men enkelt kunne hentes fram om man koblet telefonen til en PC med en programvare som gjorde dataene tilgjengelig.
Dette er data som man enkelt kan få fram om sin egen telefon, og sikkerhetsbruddet handler om at man også kunne få fram informasjonen om den man ringte til.
Ikke hos Telenor og Ice
– Det er bra at Telia bekrefter at avviket er lukket, men vi ser svært alvorlig på saken. Vi varsler derfor tilsyn med selskapet for å forstå hva som har skjedd, og hvordan det må jobbes for å hindre at tilsvarende hendelser skjer igjen, sier direktør i Nkom, John-Eivind Velure.
Slik «spionerer» du på telefonen din
Mobilnettet sender mye informasjon om nettverket og basestasjonen du er koblet opp mot, til mobiltelefonen din. Det finnes mange apper som gjør det mulig for deg å lese denne informasjonen.
Mye av informasjonen er teknisk, og forteller hvilke frekvenser du kommuniserer på, hvor god forbindelsen er. osv. Men du får også info om hvilken basestasjon du er koblet opp mot, og dermed hvor du befinner deg – hvis du er på samme sted som telefonen din. Flere av mobilnettovervåkingsappene du kan laste ned, for eksempel Netmonster, vil vise deg dette på et kart.
Her er forkortelsene som avslører hvor telefonen din er:
eNb: Et tall som identifiserer den fysiske basestasjonen.
CI: Et tall som identifiserer antennen du er koblet til på basestasjonen.
CID: Et tall som indikerer hvilken sektor eller frekvens du bruker på basestasjonen.
TAC: En gruppe basestasjoner som gir mobilnettet omtrentlig info om hvor telefonen din befinner seg når den er i standby.
PCI: Et tall som brukes til å skille mellom ulike basestasjoner som sender på samme frekvens i samme område.
En feil som oppsto hos Telia i 2023, gjorde at flere av deres mobilkunder har vært sporbare via mobilen. Sand oppdaget feilen 20. mars, og NRK varslet Telia om sikkerhetshullet mandag 13. april. Feilen ble rettet natt til tirsdag.
Nkom har bedt Telenor og Ice redegjøre for om de også har sikkerhetshullet som er avdekket hos Telia. Nkoms sikkerhetsdirektør Svein Sundfør Scheie opplyser til Digi at begge selskapene nå har bekreftet at de ikke har det samme avviket.
Taushetsplikt
– Tilbydere av mobilnett har lovpålagt taushetsplikt om kundenes opplysninger. Et brudd på denne plikten kan ikke bare føre til at sensitiv informasjon kommer på avveie, men også svekke tilliten til digital kommunikasjon, skriver Nkom torsdag.
Informasjonen det var mulig å hente ut avslørte hvilke basestasjoner den som ble oppringt var tilkoblet. I bynære strøk kan man med denne informasjonen anslå en mobilbrukers posisjon til mellom 100 og 200 meters nøyaktighet.
Undersøkelsene viser at privatkunder hos Telia, og bedriftskunder hos Telia og Telia-merkevaren Phonero har vært mulig å spore både i Norge og utlandet, og uavhengig av om den oppringte tok telefonen eller ikke.
Sand og NRK har avdekket at man kunne spore toppolitikere og ansatte i Nasjonal sikkerhetsmyndighet, Nasjonal kommunikasjonsmyndighet og Datatilsynet.
Datatilsynet samarbeider
I en avviksmelding til Datatilsynet skriver Telia at «få eller ingen» personer er rammet av feilen.
Datatilsynet mener imidlertid at det potensielt kan være mange som har vært rammet av feilen, og direktør i Datatilsynet, Line Coll, sier til NRK at det er noe av det de kommer til å gå tett inn i for å se om stemmer, når tilsynet nå tar saken til behandling.
– Vi ser svært alvorlig på saken og prioriterer arbeidet med dette avviket høyt. Vi undersøker nærmere hva som er skjedd, i tett samarbeid med Nkom, sier hun til NTB.
Nkom understreker at det er tilbyderne selv som har ansvar for å etterleve ekomloven, og Velure sier til NRK Nkom ikke har ressurser til å føre tilsyn med at alle lover følges til enhver tid.
– Vi er avhengig av å få opplysninger, eller at vi gjør risikovurderinger som peker på at dette er et område vi bør se på.
Datainnbruddet hos Telia: Rundt en halv million TV- og bredbåndskunder rammet
