Danske telebutikker udleverer sim-kort til dit nummer – helt uden at se ID
Helt uden at kræve ID udleverer adskillige telebutikker et nyt sim-kort til dit telefonnummer til alle, der beder om det.
Enkelte beder end ikke om dit navn, før de overdrager nummeret – og dermed din mailkonto og adgang til blandt andet sociale medier – til komplet fremmede.
Det viser en stikprøveundersøgelse, Ingeniøren har foretaget i københavnske butikker fra de fire store teleselskaber Yousee, Telia, Telenor og 3.
Særligt 3 skiller sig ud ved i flere tilfælde end ikke at spørge om navn eller forsøge at bede om ID, mens det for Ingeniøren var umuligt at få udleveret sim-kort fra Yousee uden at vise billed-ID.
Sårbarheden hos teleselskaberne er tidligere primært kendt fra udlandet, hvor angrebet kaldes sim-swapping, og det handler ikke kun om adgangen til at ringe og sms’e.
Et telefonnummer bliver nemlig i stigende grad brugt som ‘hovednøgle’ til dit digitale liv, da stadigt flere onlinetjenester sikres med alternative kontaktmuligheder, som ofte er sms.
- Det her er eddermame rystende og skræmmende, både it- og samfundsmæssigt. Jeg ville forvente, at der blev passet meget bedre på vores telefonnumre, siger Jacob Herbst, medstifter af it-sikkerhedsfirmaet Dubex til Ingeniøren.
Ifølge professor i teleret ved Copenhagen Business School Søren Sandfeld Jakobsen er det tilmed ulovligt, når teleselskaberne i Ingeniørens stikprøve udleverer sim-kort:
- Jeg mener, det er i strid med flere forskellige regler og dermed ulovligt. Alene ved at udlevere et sim-kort uden nogen form for kontrol er der sket et brud på persondatasikkerheden.
Hos 3, hvor to butikker har udleveret sim-kort til Ingeniøren uden at bede om ID, mener direktør for privatmarkedet David Elsass, at selskabets procedurer burde umuliggøre den slags angreb, og samme besked lyder fra Telenor, hvor en enkelt butik udleverede et sim-kort mod at få oplyst navn og adresse.
Telia udleverede under stikprøven flere gange ikke-aktiverede sim-kort, der kunne aktiveres telefonisk med offerets CPR-nummer. Men heller ikke denne metode er tilstrækkelig, erkender Telia.
- Jeg synes i det hele taget, jeres resultater er bekymrende, siger udviklingschef Frederik Hviid og tilføjer, at selskabet nu vil stramme op, så det kræver flere informationer at få aktiveret et sim-kort telefonisk.
