Da Telia skulle tilpasse sine systemer for å tilfredsstille politiets lovpålagte krav til overvåkning, sneg det seg inn en skrivefeil i et viktig IT-system. Resultatet ble det stikk motsatte av hensikten: i stedet for å legge til rette for lovlig overvåkning av mistenkte kriminelle, ble millioner av helt vanlige mobilkunder sporbare i sanntid, i over to år. Det avslører NRK i en ny og mer detaljert gjennomgang av sikkerhetshullet vi omtalte i april.
Alt startet med én feil bokstav
Roten til problemet er en bagatellmessig skrivefeil. I mobilnettets Session Initiation Protocol (SIP) finnes en funksjon kalt «P-Access-Network-Info», som forteller nettverket hvilken basestasjon en telefon er tilkoblet. Telia omdøpte ved en feil denne funksjonen til «P-Access-Network-Id» under en konfigurasjonsendring høsten 2023.
Problemet er at systemene som filtrerer bort sensitiv informasjon før den sendes videre, kun kjenner igjen det offisielle navnet. Det omdøpte feltet slapp derfor gjennom filteret ubehandlet, og med det fulgte posisjonsdata om mottakerens mobiltelefon.
– Dessverre skjedde det en feil i konfigurasjonen da vi oppdaterte vår bedriftstjenesteplattform høsten 2023, bekrefter informasjonssjef Daniel Barhom i Telia.
Dette var vi klar over tidligere, det nye i saken er altså skrivefeilen og det at Telia skulle legge til rette for mer overvåkning.
Oppdaget ved en tilfeldighet
Sikkerhetshullet lå altså åpent i 2,5 år før det ble oppdaget, og det skjedde ved en ren tilfeldighet. Sikkerhetsforsker Harrison Sand i selskapet Mnemonic undersøkte 20. mars i år hvordan svindlere kunne misbruke telenettet til å sende svindelmeldinger. Som ledd i testingen ringte han opp en av NRKs journalister, og oppdaget at Telia uoppfordret delte informasjon om hvilken basestasjon journalistens mobil var tilkoblet.
NRK dokumenterte sårbarheten ved å spore Høyre-topp Peter Frølich gjennom Oslo og helt inn i Stortingssalen ved hjelp av ordinære telefonanrop. Frølich selv reagerte sterkt på demonstrasjonen.
– Det er en rimelig vanvittig opplevelse at NRK kan spore og overvåke meg på denne måten, sier Frølich.
Nøyaktigheten var på mellom 100 og 200 meter i bystrøk. Utenfor byer, der basestasjonene står lengre fra hverandre, ville resultatet vært langt mindre presist. NRK dokumenterte også at politiansatte og ansatte i Nasjonal sikkerhetsmyndighet kunne spores på samme måte.
To tilsyn er åpnet
Både Datatilsynet og Nasjonal kommunikasjonsmyndighet (Nkom) har åpnet undersøkelser etter avsløringen. Nkoms sikkerhetsdirektør Svein Sundfør Scheie bekrefter at de vil innhente dokumentasjon og gjennomføre intervjuer med nøkkelpersoner.
– Vi ønsker å komme til bunns i hva som har skjedd, hvorfor det har skjedd, og å sørge for at det ikke kan skje igjen, sier Scheie.
Feilen er nå rettet. Telenor og Ice skal ifølge NRK ikke ha hatt tilsvarende sårbarhet.
Comments (0)
No comments yet. Be the first to comment!