Igår fikk vi et brev fra Tele2 hvor de forteller oss at noen har stjålet data fra dem og at vi kanskje er en av de eksponerte. "Hvordan har de fått min info -- jeg er jo ikke kunde hos dem!" utbrøt en av mine. Idag stod det om denne saken i Aftenposten.. Jeg sendte en mail til journlisten i Aftenposten idag.
Handlet ikke denne saken mindre om selve innbruddet (som er alvorlig nok), mer om det at Tele2 har tilgang til data på personer som ikke har et kundeforhold til selskapet. Det er alvorlig, tenkte jeg. Men som vanlig, var forklaringen en annen enn jeg hadde tenkt.
I mailen jeg fikk tilbake stod det:
Kort fortalt så har aldri Tele 2 selv hatt personopplysningene, men de har hatt tilgang til dem gjennom et kredittvurderingsselskap som har hatt direkte tilgang til folkeregisteret.
Dette er Tele 2 sin forklaring på det som skjedde:
Et spesiallaget dataprogram fremskaffet gyldige personnummer ved hjelp av en offentlig nettside og gjennomførte en kredittsjekk via Tele2s nettside.
Programmet hadde 3 trinn og de 2 første trinnene skjedde utenfor Tele2s nettside:
1. En personnummerkalkulator beregnet potensielle personnummer basert på fødselsnummer.
2. Potensielle personummer ble matet inn på en offentlig nettside for å finne gyldige personnummer.
3. Gyldige personnummer ble så lagt inn i Tele2s ordreløp for mobil og dette genererte en automatisk kredittsjekk. Viktig for alle berørte er å vite at Tele2 IKKE har en database med navn og personnummer. Men vi hadde en kredittsjekk som via vår leverandør av kredittopplysninger, gjorde et automatisk oppslag i folkeregisterert basert på personnummer. For de personer som fikk godkjent kredittsjekk, i henhold til Tele2s kriterier, ble navn- og adresseinformasjon eksponert.
Hvem er ansvarlig? Hvor søker jeg erstatning hvis noen stjeler min identitet, oppretter mobil-telefon, søker om lån, enderer min adresse, omadresserer posten min, skaffer seg kredittkort og sender innkassovarslene og torpedoene til meg? Skal jeg saksøke Tele2? Sender de meg videre til kredittsjekkselskapet? Betyr dette at kredittsjekkselskapene strør om seg med min fødselsdato som noen kan mate inn i en hjemmelaget kalkulator? Og hva skjer når skurken har fått mitt fødselsnummer og får dette verifisert gjennom folkeregisteret? Er Folkeregisteret ansvarlig? Her har vi altså tre ulike aktører som alle kan påberope seg uskyld fordi de kun har levert en liten del av den revolveren som lett kan smadre en vanlig borgers lovlydige liv. Hele kreditthistorien kan smadres, man kan kastes ut av huset, få knærene ødelagt av en torpedo, alt kan gå til helvete hvis noen stjeler identiteten.
Og er dette bare noe som rammer andre enn oss selv? I USA har dette blitt et kjempeproblem; over 10millioner mennesker får frastjålet sin identitet i USA hvert år.
Kan noen fortelle meg hvem som er ansvarlige her? Har Tele2 kjøpt en tjeneste som kredittvurderingsselskapet ikke har lov til å tilby? Og isåfall, har de gjort noe galt? Eller der det leverandøren eller hele denne industrien som lever av å sette sammen mine data uten at jeg får noen del av fortjenesten skapt på mine data? Jeg kan ikke denne bransjen godt nok, men det er noe her som skurrer. Og hele saken med personnumre er nok et eksempel på sammenhengene mellom effektivitet og sårbarhet. Problemet når det gjelder IDtyveri er at det er personen som bærer hele byrden.
Comments