Tölvuárásin sem gerð var á Vodafone í nótt er líklega sú alvarlegasta sem íslenskt fyrirtæki hefur orðið fyrir. 80.000 sms hafa verið birt og 30.000 lykilorð að tölvupóstföngum.

Tölvufræðingur segir að um meiriháttar klúður sé að ræða hjá Vodafone og mögulega brot á persónuverndarlögum

„Þeir hefðu aldrei átt að geyma öll þessi lykiorð ódulkóðuð. Það er gríðarlegt ábyrgðarleysi gagnvart viðskiptavinum að gera það. Þetta eru bara léleg vinnubrögð,“ segir tölvursérfræðingur og forritari sem mbl.is ræddi við en hann vill ekki koma fram undir nafni.

Engin eldflaugavísindi

Skráin sem hakkarinn AgentCoOfficial, eða Maxn3y, deildi í nótt hefur verið fjarlægð af upphaflegri staðsetningu á netinu. Hinsvegar er ljóst að margir hafa sótt hana og er hún víða í dreifingu, m.a. á íslensku síðunni deildu.net.

Sérfræðingurinn sem mbl.is ræddi við segir ljóst að á meðan gögnin eru sýnileg, og notendur bregðast ekki við og breyta lykilorðum sínum, væri hæglega hægt að nota þær miklu upplýsingar sem þarna koma fram í misjöfnum tilgangi.

„Ef einhver hefði áhuga á því að valda óskunda þá getur viðkomandi gengið á öll þessi gögn sem eru núna á netinu, fundið gmail-netföng og prófað lykilorðin við. Þessi 30.000 stykki. Þetta er bara skipulagslegt klúður. Ég veit ekki hvernig öðru vísi er hægt að lýsa þessu. Frekar hryllilegt bara,“ segir hann.

Aðspurður segist hann ekki geta sagt til um hvernig árásin var gerð, en það þurfi ekki endilega að hafa verið mjög flókið. „Þetta lítur ekki út fyrir að vera einhver eldlflaugavísindi.“

Hann segir að þetta verði vonandi spark í rassinn fyrir íslensk fyrirtæki að gæta betur að öryggismálum sínum á netinu.

Ber að eyða gögnum eftir 6 mánuði

Þau 80.000 sms sem hafa verið birt virðast vera frá a.m.k. þremur dagsetninum á tímabilinu 2011-2013, eftir því sem mbl.is kemst næst af því að renna í gegnum gögnin. Þar á meðal eru mörg frá sömu númerunum, og má nefna hópskilaboð frá formanni þingflokks til allra þingmanna.

Aðspurður hvort eðlilegt sé að allt að þriggja ára gömul sms séu enn geymd segir viðmælandi mbl.is að svo sé ekki.

Í lögum um fjarskipti segir í ákvæði um vernd persónuupplýsinga og friðhelgi einkalífs að gögnum um fjarskiptaumferð notenda, sem geymd eru og fjarskiptafyrirtæki vinnur úr, skuli eða eða gera nafnlaus þegar þeirra er ekki lengur þörf.

Fjarskiptafyrirtækjum ber, í þágu rannsókna og almannaöryggis, að varðveita lágmarksskráningu gagna um fjarskiptaumferð notenda í 6 mánuði. Að þeim tíma liðnum ber fyrirtækjunum að eyða gögnunum.

Fyrri fréttir mbl.is um málið:

Vodafone biður fólk að breyta lykilorðum

Lykilorðum og notendanöfnum lekið

Hakkari birtir persónuupplýsingar

Netárás á heimasíðu Vodafone

Tengdar fréttir

Vodafone hakkað

Brutu gegn meginákvæðum fjarskiptalaga

• Vefkerfi Vodafone rafrænt fjarskiptanet
• Leita til EFTA-dómstóls vegna fjarskiptalaga
• Milljónir vegna Vodafone-leka
• Tölvuárás á viðskiptavini Vodafone

» Fleiri tengdar fréttir

• 1 blogg um fréttina

Bloggað um fréttina

• Heimir Lárusson Fjeldsted: Persónunjósnir vodafone