Flere fødselsnumre stjålet

Flere fødselsnumre stjålet

Combitel har gått i samme fella som Tele 2 og 63.000 fødselsnummer, navn og adresser er stjålet. Selskapet har ikke gitt beskjed til de rammede kundene, noe Datatilsynet reagerer kraftig på.

Teleoperatøren Combitel ble 3. og 4. august i år utsatt for misbruk på nettsiden Gobergen.no. I følge et brev til Datatilsynet bestod angrepet av 103.000 søk på fødselsnummer, som ga 63.000 treff med navn og adresser. Misbruket ble gjennomført i forbindelse med bestilling og kredittsjekk. Dette er samme type angrep som Tele 2 ble utsatt for bare én uke tidligere.

- Sammen med angrepet på Tele 2 betyr dette at så mange som 100.000 fødselsnummer, navn og adresser nå kan være på avveie, sier avdelingsdirektør Leif T. Aanensen i Datatilsynet.

Reagerte tregt
Combitel ble varslet av Datatilsynet om svakheten i systemet allerede 3. juli, altså én måned før misbruket. Tilsynet hadde fattet et vedtak om flere konkrete tiltak som teleoperatøren måtte gjennomføre for å håndtere personopplysninger sikkert. Likevel ble ingenting gjort før det var for sent.

LES OGSÅ: Tele2 ble advart

- På grunn av ferieavvikling var det ikke mulig for oss å behandle saken, og vi ba om utsettelse på tidsfristen for å svare Datatilsynet, sier administrerende direktør Olav Balandin i Combitel. Han tar selvkritikk i saken, men mener det burde vært bedre varsling for bedrifter for denne typen angrep.

Ingen varsling
Combitel har heller ikke varslet kundene som er rammet. Datatilsynet mener det er for dårlig.

- Her har Combitel et moralsk ansvar. De må informere skikkelig slik at kundene kan øke sin aktsomhet og passe på at opplysningene ikke misbrukes ytterligere, forteller Aanensen.

Han legger til at Combitel kan ha brutt loven hvis kredittopplysninger er gitt ut til fremmede uten at de rammede er informert. Combitel forsikrer om at slike opplysninger ikke er gitt ut.

- Det er ikke blitt gitt ut noen kredittopplysninger. Det eneste som returneres er godkjent eller ikke-godkjent, sier Balandin.

Kan ha brutt loven
Datatilsynet vurderer nå om Tele 2 og Combitel har brutt personopplysningslovens paragraf 13 om informasjonssikkerhet. Om tilsynet kommer frem til at selskapene ikke har gjort nok for å sikre at personopplysninger ikke kommer på avveie, kan det føre til anmeldelse.

Server i Halden
Combitel sporet misbruket til en server i Halden, som er blitt beslaglagt av politiet.

I følge Combitel og Tele 2 etterforskes sakene av politiet. KRIPOS’ datakrimavdeling ønsker ikke å kommentere forholdene, men sier at Tele 2-saken er ”under behandling”.

LES OGSÅ: Advarer mot id-tyveri | 60.000 personnumre på avveie

Les om:

Sikkerhet