Innlent | mbl | 1.12.2013 | 18:35 | Uppfært 20:41

Viðurkenna „skelfileg“mistök

Vodafone biður alla sem málið snertir afsökunar.

Vodafone viðurkennir að mistök hafi verið að geyma gögn lengur en í sex mánuði og að lykilorð hafi ekki verið dulkóðuð. Þetta kom fram í máli Ómars Svavarssonar, forstjóra Vodafone, á blaðamannafundi síðdegis í dag.

Komst ekki í grunnfjarskiptakerfi Vodafone

Talið er að tölvuþrjótur af tyrkneskum uppruna hafi nýtt sér veikleika í kóðun á vefsíðu Vodafone, búið til bakdyr sem hann hafi nýtt sér og gert heimasíðuna óvirka. Ekkert bendir til þess að tölvuþrjóturinn hafi komist inn í grunnfjarskiptakerfi Vodafone. Ómar segir fyrirtækið hafa lagt mikla áherslu á netöryggi. „Það hafa verið alvarlegar tilraunir gerðar en hingað til hafa þær ekki borið árangur. Þá hefur aldrei tekist að brjótast inn í okkar kjarnafjarskiptakerfi. Veikleikinn lá í vefsíðunni og þar liggur okkar ábyrgð.“

Um 300 Mb af gögnum var stolið af heimasíðu Vodafone um helgina. Þeirra á meðal voru lykilorð notenda að „mínum síðum“ og fjögur kreditkortanúmer. Einnig voru tekin nöfn og kennitölur viðskiptavina. Viðkvæmustu upplýsingarnar eru svokölluð vef-sms sem tekin voru af mínum síðum en ekki sms á milli farsíma. Alls láku um 79 þúsund sms á tímabilinu frá 1. desember 2010 til 30. nóvember 2013. Á fundinum kom fram að langstærsti hluti sms-anna sé almennar þjónustutilkynningar.

„Allt kapp er lagt á að lágmarka skaðann og helstu öryggissérfræðingar kallaðir til. Búið er að funda með póst- og fjarskiptastofnun auk lögreglu en málið hefur verið kært til lögreglu. Vefsíðan verður ekki sett upp aftur fyrr en eftir ýtrustu öryggisprófanir.“

Mistök að geyma gögn lengur en í sex mánuði

Ómar segir það vera mistök að gögnin hafi verið geymd lengur en í sex mánuði. „Það er ljóst að geymsla okkar fór fram yfir þann tíma sem kveðið er á um í lögum. Við buðum upp á þá þjónustu að viðskiptavinurinn gæti geymt skilaboðin í sinni samskiptasögu á vefsíðunni og til að gera það ekki þarf að taka þar til gert hak af. Við nánari skoðun fundust eldri gögn í bakkerfi okkar sem nú er búið að eyða. Í þessu fólust okkar mistök,“ segir Ómar.

Á fundinum kom einnig fram að Vodafone varð ekki ljóst eðli og umfang þessarar árásar fyrr en tölvuþrjóturinn birti gögnin og fjölmiðlar vöktu meðal annars athygli á þeim. „Í fyrstu stóðum við í þeirri trú að hann hefði ekki komist yfir nein gögn. Þess vegna var upprunalega tilkynningin frá okkur röng. Alvarlegast er þó ekki hvernig upp komst um brotin heldur að þessir öryggisgallar hafi yfirhöfuð verið til staðar,“ sagði Hrannar Pétursson, framkvæmdastjóri samskiptasviðs Vodafone, á fundinum.

„Skelfileg mistök“ að dulkóða ekki lykilorð

Aðspurður hvort eðlilegt hafi verið að lykilorðin hafi ekki verið dulkóðuð sagði Ómar það ekki eðilegt. „Nei, það er ekki eðlilegt. Það eru alveg skelfileg mistök af okkar hálfu. Þau voru dulkóðuð en að baki voru þau ekki dulkóðuð. Þetta voru mistök og á þeim berum við fulla ábyrgð,“ segir Ómar en hann segir að tíminn verði að leiða það í ljós hvort fyrirtækið sé bótaskylt. „Við erum meðvituð um þá hlið máls en það er margt sem er eftir að koma í ljós um hvernig við vinnum frekar úr þessu máli.“

Erfitt að sækja tölvuþrjótinn til saka

Aðspurður hvort líkur séu á að hægt sé að sækja tölvuþrjótinn til saka segir Ómar engar líkur vera á því. „Þessi hakkaraheimur er þannig að þú þarft að beita öllum þínum kröftum í að verjast þeim. Við höfum upplýst lögregluna um IP-töluna en það er gríðarlega flókið að rannsaka þessi mál og það eru litlar líkur á að hægt sé að ná einhverri lögsögu yfir einstaklingi sem staðsettur er í Istanbul.“

Vodafone er í samstarfi við lögfræðistofu um að útbúa gagnaherbergi þar sem viðskiptavinir geti nálgast upplýsingar um sig auk þess sem verið er að yfirfara allar öryggisráðstafanir. Það verður einnig gerð ítarleg úttekt á öryggisráðstöfunum fyrirtækisins af óháðum aðila og þær niðurstöður verða birtar. Þá vill Vodafone koma því á framfæri að það sé skýrt lögbrot að birta persónuupplýsingar af þessu tagi.