Tölvu­árás­in sem gerð var á Voda­fo­ne í nótt er lík­lega sú al­var­leg­asta sem ís­lenskt fyr­ir­tæki hef­ur orðið fyr­ir. 80.000 sms hafa verið birt og 30.000 lyk­il­orð að tölvu­póst­föng­um.

Tölvu­fræðing­ur seg­ir að um meiri­hátt­ar klúður sé að ræða hjá Voda­fo­ne og mögu­lega brot á per­sónu­vernd­ar­lög­um

„Þeir hefðu aldrei átt að geyma öll þessi lyk­i­orð ódul­kóðuð. Það er gríðarlegt ábyrgðarleysi gagn­vart viðskipta­vin­um að gera það. Þetta eru bara lé­leg vinnu­brögð,“ seg­ir tölvur­sér­fræðing­ur og for­rit­ari sem mbl.is ræddi við en hann vill ekki koma fram und­ir nafni.

Eng­in eld­flauga­vís­indi

Skrá­in sem hakk­ar­inn Ag­entCoOfficial, eða Maxn3y, deildi í nótt hef­ur verið fjar­lægð af upp­haf­legri staðsetn­ingu á net­inu. Hins­veg­ar er ljóst að marg­ir hafa sótt hana og er hún víða í dreif­ingu, m.a. á ís­lensku síðunni deildu.net.

Sér­fræðing­ur­inn sem mbl.is ræddi við seg­ir ljóst að á meðan gögn­in eru sýni­leg, og not­end­ur bregðast ekki við og breyta lyk­il­orðum sín­um, væri hæg­lega hægt að nota þær miklu upp­lýs­ing­ar sem þarna koma fram í mis­jöfn­um til­gangi.

„Ef ein­hver hefði áhuga á því að valda óskunda þá get­ur viðkom­andi gengið á öll þessi gögn sem eru núna á net­inu, fundið gmail-net­föng og prófað lyk­il­orðin við. Þessi 30.000 stykki. Þetta er bara skipu­lags­legt klúður. Ég veit ekki hvernig öðru vísi er hægt að lýsa þessu. Frek­ar hrylli­legt bara,“ seg­ir hann.

Aðspurður seg­ist hann ekki geta sagt til um hvernig árás­in var gerð, en það þurfi ekki endi­lega að hafa verið mjög flókið. „Þetta lít­ur ekki út fyr­ir að vera ein­hver eld­lflauga­vís­indi.“

Hann seg­ir að þetta verði von­andi spark í rass­inn fyr­ir ís­lensk fyr­ir­tæki að gæta bet­ur að ör­ygg­is­mál­um sín­um á net­inu.

Ber að eyða gögn­um eft­ir 6 mánuði

Þau 80.000 sms sem hafa verið birt virðast vera frá a.m.k. þrem­ur dag­setn­in­um á tíma­bil­inu 2011-2013, eft­ir því sem mbl.is kemst næst af því að renna í gegn­um gögn­in. Þar á meðal eru mörg frá sömu núm­er­un­um, og má nefna hópskila­boð frá for­manni þing­flokks til allra þing­manna.

Aðspurður hvort eðli­legt sé að allt að þriggja ára göm­ul sms séu enn geymd seg­ir viðmæl­andi mbl.is að svo sé ekki.

Í lög­um um fjar­skipti seg­ir í ákvæði um vernd per­sónu­upp­lýs­inga og friðhelgi einka­lífs að gögn­um um fjar­skiptaum­ferð not­enda, sem geymd eru og fjar­skipta­fyr­ir­tæki vinn­ur úr, skuli eða eða gera nafn­laus þegar þeirra er ekki leng­ur þörf.

Fjar­skipta­fyr­ir­tækj­um ber, í þágu rann­sókna og al­manna­ör­ygg­is, að varðveita lág­marks­skrán­ingu gagna um fjar­skiptaum­ferð not­enda í 6 mánuði. Að þeim tíma liðnum ber fyr­ir­tækj­un­um að eyða gögn­un­um.

Fyrri frétt­ir mbl.is um málið:

Voda­fo­ne biður fólk að breyta lyk­il­orðum

Lyk­il­orðum og not­enda­nöfn­um lekið

Hakk­ari birt­ir per­sónu­upp­lýs­ing­ar

Netárás á heimasíðu Voda­fo­ne

Tengd­ar frétt­ir

Voda­fo­ne hakkað

Brutu gegn megin­á­kvæðum fjar­skipta­laga

• Vef­kerfi Voda­fo­ne ra­f­rænt fjar­skipta­net
• Leita til EFTA-dóm­stóls vegna fjar­skipta­laga
• Millj­ón­ir vegna Voda­fo­ne-leka
• Tölvu­árás á viðskipta­vini Voda­fo­ne

» Fleiri tengd­ar frétt­ir

• 1 blogg um frétt­ina

Bloggað um frétt­ina

• Heim­ir Lárus­son Fjeld­sted: Per­són­unjósn­ir voda­fo­ne