Fjarskipti hf. - Fyrirtækjafréttir

Ekki brotist inn í fjarskiptakerfin

Aðfaranótt 30. nóvember var brotist inn á heimasíðu Vodafone, þaðan sem gögnum
var stolið. Meðal þeirra voru 79 þúsund SMS skeyti, notendanöfn og lykilorð að
Mínum síðum og upplýsingum um nöfn og kennitölur tiltekinna viðskiptavina.  Þá
komst hakkarinn yfir eitt gilt kreditkortanúmeri, frá viðskiptavini sem var í
vefverslun síðunnar þegar innbrotið átti sér stað. Ekki var stolið upplýsingum
úr kreditkortagrunni en í nokkrum tilfellum innihéldu vef-sms skeyti
viðskiptavina upplýsingar af þessu tagi.  Alls var um 300 MB af gögnum stolið af
heimasíðunni.

Engar vísbendingar eru um að brotist hafi verið inn í fjarskiptakerfin og gögn
send frá símtækjum eru örugg.

Umfang
SMS skilaboðin sem um ræðir voru um 79 þúsund talsins og voru upprunnin í SMS
þjónustu á heimasíðunni á tímabilinu frá 1. desember 2010 til 30. nóvember
2013.  Engum SMS skilaboðum sem send  voru úr farsíma var stolið.

Vef SMS-in komu frá 5.100 aðilum, þar af sendu 2.500 viðskiptavinir aðeins ein
skilaboð.  Um 75% skilaboðanna eða um 60 þúsund þeirra voru almennar
þjónustutilkynningar frá félagasamtökum eða litlum þjónustuaðilum (tannlæknum,
hárgreiðslustofum o.s.frv.).

Varðveisla gagna
Fjarskiptalög kveða skýrt á um að varðveisla gagna lengur en 6 mánuði er
óheimil. Ljóst er að stór hluti hinna stolnu gagna var eldri en það og ber
Vodafone fulla ábyrgð á því. Ástæður þess voru eftirfarandi:
Á heimasíðunni var viðskiptavinum boðið að vista send SMS skilaboð. Hægt var að
afþakka slíka gagnavistun með því að taka út tiltekið hak í valmynd
vefgáttarinnar.  Eingöngu voru geymd SMS þar sem merkt var við "Vista í skeyta
sögu." Þetta fyrirkomulag á heimasíðu Vodafone er gallað og í því felast mistök
Vodafone.

Hvernig var brotist inn
Aðfaranótt 30. nóvember verður ljóst að heimasíða Vodafone hefur orðið fyrir
árás. Árásin var rakin til IP-tölu í Istanbúl í Tyrklandi.  Tölvuhakkarinn nýtti
sér veikleika í kóða á heimasíðu Vodafone til að komast inn í kerfið, þar sem
hann bjó til bakdyr. Stolnu gögnin færði hann í gegnum þær bakdyr áður en hann
tók niður heimasíðuna til að hylja sporin.
Tölvuhakkarinn komst ekki inn í grunnkerfi Vodafone, sjálf fjarskiptakerfin þar
sem öflugar varnir héldu honum úti.
Viðbragðsteymi Vodafone var ræst út strax um nóttina. Helstu öryggisfræðingar
landsins voru kvaddir til ásamt sérfræðingum frá Vodafone Global.  Umfangsmikil
rannsókn á umfangi innbrotsins var gerð þar sem áherslan var fyrst  um sinn lögð
á að yfirfara grunnkerfi félagsins og kreditkortagrunna. Hvorugt varð fyrir
tjóni í árásinni.

Tilkynningar voru sendar til fjölmiðla og síðar viðskiptavina þar sem
upplýsingum um málið var miðlað. Upplýsingum var einnig dreift á samfélagsmiðla
fyrir almenning. Útsendar upplýsingar voru sendar út samkvæmt bestu vitneskju á
hverjum tíma, en í einhverjum tilvikum hefur þurft að leiðrétta þær.  Meðal
annars voru viðskiptavinir hvattir til þess að endurnýja lykilorð sín á
nauðsynlegum netreikningum.
Fulltrúar fyrirtækisins funduðu með Póst- og fjarskiptastofnun og kærðu árásina
til lögreglu.
Búið að finna öryggisveikleika heimasíðunnar og gera breytingar vegna hans.
Heimasíðan hefur legið niðri frá því árásin átti sér stað og verður ekki sett
upp aftur fyrr en að loknum ítarlegum öryggisprófunum.

Næstu skref
Verið er að koma upp virkri upplýsingamiðstöð á vefnum okkar, þar sem
almenningur getur leitað sér upplýsinga um málið. Viðskiptavinum verður boðið
að  nálgast þær upplýsingar úr SMS skilaboðum sem kunna að tengjast þeim í
sérstöku gagnaherbergi sem verður opnað eftir helgi. Upplýsingar þar að lútandi
verða ekki veittar símleiðis eða með rafrænum hætti. Nánari upplýsingar um
fyrirkomulagið verða birtar á vodafone.is.

Verið er að yfirfara allar öryggisráðstafanir fyrirtækisins og óháður aðili
verður fenginn til að gera ítarlega öryggisúttekt á Vodafone.  Áfram verður
unnið náið með netöryggissveit Póst- og fjarskiptastofnunar.

Vodafone biður alla sem málið snertir afsökunar.


[HUG#1746888]