Surfa kan nu avslöja att Telia vid upprepade tillfällen på kort tid blivit lurade att kapa flera kunders telefonnummer. Både SMS och telefonsamtal har omdirigerats för att skickas till någon annan än ägarna av abonnemangen. Telia svarar inte på frågor om fallen och nu utreder Post- och Telestyrelsen fallen för att få svar på hur felen kunnat uppstå.
Två kapningar på kort tid
Efter flera liknande incidenter i USA har några av de första kända fallen av SIM-kortskapning rapporterats i Sverige. I oktober skickade Telia två så kallade Incidentrapporter till Post- och Telestyrelsen, den myndighet som ansvarar för att reglera telemarknaden i Sverige. I rapporterna berättar teleoperatören om två nästan identiska fall av SIM-kortskapning som skedde i oktober detta året. Vid båda tillfällena har kundtjänst mottagit samtal från en person som bett Telia flytta specifika telefonnummer till nya SIM-kort. Flytten har genomförts utan att Telia först sett till att det faktiskt var telefonnumrets ägare som ringde. Telia har alltså vid upprepade tillfällen lurats så att kunders telefonnummer flyttats till fel SIM-kort.
Sociala medier-konton kan kapas med SMS
Det är oklart exakt varför kapningarna har skett eller vad personen gjort med telefonnumrena. SMS används dock av många webbtjänster som ett sätt för att bekräfta en persons identitet. SMS används bland annat av många tjänster som ett säkerhetssteg vid inloggning. Genom att ringa en teleoperatör och flytta ett telefonnummer till ett annat SIM-kort kan en attackerare använda telefonnumret för att ta emot verifieringskoder som kan ge dem tillgång till viktiga konton.
I vissa fall kan SMS och samtal till och med användas för att helt återställa lösenord för vissa konton. Sociala medier så som Twitter och Facebook tillåter till exempel återställning av lösenord med ett telefonnummer som enda medel. Ett SMS skickas då till telefonnumret med instruktioner om hur lösenordet ska återställas. En attackerare som tagit över telefonnumret kan då också ta över vissa konton som är kopplade till numret.
Rapporter saknar viktiga detaljer
I rapporterna till Post- och Telestyrelsen har Telia inte skrivit med information som vanligen måste inkluderas i incidentrapporter till myndigheten. Företaget har bland annat inte rapporterat vilka datum kapningarna har skett och rapporterna beskriver inte heller de risker som händelserna kan innebära för de påverkade kunderna. Detta har fått Post- och Telestyrelsen att reagera. Myndigheten har beslutat att inleda tillsyn mot Telia. Företaget har nu till den 14 december på sig att svara på myndigheternas frågor.
Telia upptäckte inte felen
Post- och Telestyrelsen misstänker brister i Telias säkerhetsarbete. Myndigheten påpekar bland annat att Telia inte bara felaktigt aktiverat telefonnummer på fel SIM-kort. Teleoperatören har inte ens själv upptäckt felen. I båda fallen har de kapade SIM-korten upptäckts först efter att de påverkade kunderna ringt kundtjänst för att klaga på att deras telefonnummer plötsligt slutat fungera.
Surfa har pratat med Telia för att få svar på frågor angående händelserna och ge Telia möjlighet att kommentera. Telia har valt att inte svara på frågorna och menar att de kommer att besvaras i ett brev till Post- och Telestyrelsen. Telia har alltså fortfarande inga svar till allmänheten om hur SIM-kortskapningarna varit möjliga och om det finns rutiner för att skydda kunder.
Läs Surfas gräv om Comviqs hemliga nummer-skandal:
När jag köpte ny telefon behövde jag ett nytt SIM-kort till den. Jag gick in till en teliabutik och sa vilket telefonnummer jag hade, sedan fick jag ett nytt kort utan att behöva legitimera mig. Jag tyckte det verkade lite konstigt att jag kunde få det, men tydligen bryr sig telia inte så mycket om vem som äger ett telefonnummer…
Tack för kommentaren! Det låter ju helt otroligt att de inte kollar legitimation. När SIM-kort i sig kan agera som en typ av legitimation är det underligt att det inte krävs legitimation för att dela ut dem.