Testpilot
av
Dinside Når du surfer på nettet får du utdelt en IP-adresse. Den er åpen, kan logges av nettsteder du bruker og ser for eksempel slik ut: 78.41.136.12.
Men hvem som skjuler seg bak IP-adressen skal være strengt hemmelig. Internett-tilbyderne i Norge har derfor lovfestet tauhetsplikt mot å oppgi hvem som bruker hvilke IP-adresser, og selv overfor politiet kan dette være taushetsbelagt.
DinSide kan nå avsløre at nettleverandøren NextGenTel likevel har gitt ut denne informasjonen helt åpent, til alle, uten at hverken selskapet eller kundene visste om det.
Les også: Nakenbilder av norske kvinner spres på nettet – harddiskene lå åpne
Nettsiden er et administrasjonsverktøy for ruteren Tilgin Vood Residential Gateway, som enkelte IP-telefonikunder bruker til både vanlig nettilgang og IP-telefoni. Uten å kreve passord viser nettsiden ruterens status, som inkluderer telefonnummeret, og dermed avslører eieren av IP-adressen.
Dette er ikke noe kunden selv har valgt, men noe boksen gjør helt av seg selv, og er nok et eksempel på faren åpne enheter på nettet utgjør.
Se hva DinSide fant åpent på nettet i Norge – babymonitor, overvåkningskameraer, strømstyring og filservere
Det skal være noen tusen av disse boksene i markedet, og noen hundre av disse skal ha hatt programvare som delte ut telefonnummerne. NextGenTel skal selv ha oppdatert ruterne til nyere programvare som ikke viser nummerne, men av ukjente årsaker har ikke alle ruterne fått denne oppdateringen.
På søketjenesten Usikkert.no får vi 476 treff på søk etter telefonenheter tilhørende NextGenTel, og så langt vi ser er de aller fleste rammet av denne glippen. De fleste gir oss et telefonnummer, og de aller fleste av disse igjen er søkbare på tjenester som 1881.no.
Etter at DinSide gjorde NextGenTel klar over faren, gikk selskapet i gang med å oppdatere de resterende boksene, slik at ingen lenger spyr ut telefonnummer. Har kundene derimot selv stengt ruteren for oppdateringer utenfra er det ikke så mye NextGenTel kan gjøre.
OPPDATERING: Søk samme dag som denne artikkelen ble publisert, tyder på at problemet nå i stor grad er rettet.
Oppdater dingsene dine og søk på deg selv – slik sikrer du deg mot åpne enheter på nett
For eksempel: Skriver du en kommentar under denne artikkelen uten å oppgi ekte navn, får DinSide likevel se den ekte IP-adressen din i debattsystemet vårt. Dermed er det viktig at vi ikke får koblet denne adressen til en konkret person, om du ønsker å være anonym. Ettersom IP-adresser har en lovpålagt anonymitet i Norge, få vi heller ikke det.
Med mindre du er en av de uheldige NextGenTel-kundene, selvfølgelig. Da kan vi i skrivende stund bare taste inn IP-adressen i nettleseren og få opp telefonnummeret ditt, om ikke selskapet har oppdatert ruteren din.
Det er også helt åpent hvilke IP-adresser som laster ned og deler ut torrent-filer, ofte brukt til piratkopiering. IP-adresser herfra blir logget av piratjegere, som det norske advokatfirmaet Simonsen Vogt Wiig. Men da de ville ha ut hvem som satt bak piratens IP-adresse i den kjente Max Manus-saken, måtte de gå helt til Høyesterett, da Altibox nektet å avsløre kunden.
Igjen: Hadde denne piraten vært en av de uheldige Nextgentel-kundene, kunne advokatene potensielt bare tastet inn IP-adressen hans i nettleseren og fått opp telefonnummeret til vedkommende.
Les også: Norsk kundeservice lagrer chattingen din uten å advare, noen lagrer også IP-adresser
Hvorvidt selskapet har brutt konsesjonen de har fått fra Datatilsynet om å behandle kundeopplysninger, eller brutt ekom-loven som forbyr selskapet å gi ut slik informasjon, kan ikke Hodne konkludere på. Men de har uansett valgt å fortelle hva som har skjedd, og hva de gjør for å rette opp.
– Generelt: Hvor godt beskytter dere hvilke kunder som skjuler seg bak hvilke IP-adresser?
– Vi følger lovgivningen. Selv ikke politiet får dette uten en rettslig kjennelse, svarer Hodne.
Andre ganger må politiet be om fritak fra taushetsplikten gjennom PT, eller få en rettslig kjennelse. For alle andre er opplysningene uansett taushetsbelagte.
– Av hensyn til personvernet, som Langeland i PT sier til DinSide.
– Hva tenker du om at NextGenTel har gitt ut denne informasjonen åpent?
– Det er uheldig, svarer rådgiveren kort.
– Og potensielt ulovlig, og dermed straffbart?
– Ja, med strek under potensielt, for denne saken kjenner vi bare gjennom DinSide. Informasjonen er omfattet av taushetsplikt, og grove brudd blir omfattet av ekom-lovens straffebestemmelser, fortsetter Langeland, som ikke kan uttale seg om brudd har skjedd uten at tilsynet har behandlet saken.
– Er det aktuelt for dere å reagere i dette tilfelle?
– Da må vi gå inn i saken på en helt annen måte enn vi har gjort foreløpig. Det aller viktigste er at selskaper som eventuelt har slike potensielle sikkerhetshull, straks retter dem.
Les også: DinSide avslørte at norske mobiloperatører lagret surfelogger – så satt Datatilsynet ned foten
Men hvem som skjuler seg bak IP-adressen skal være strengt hemmelig. Internett-tilbyderne i Norge har derfor lovfestet tauhetsplikt mot å oppgi hvem som bruker hvilke IP-adresser, og selv overfor politiet kan dette være taushetsbelagt.
DinSide kan nå avsløre at nettleverandøren NextGenTel likevel har gitt ut denne informasjonen helt åpent, til alle, uten at hverken selskapet eller kundene visste om det.
Les også: Nakenbilder av norske kvinner spres på nettet – harddiskene lå åpne
ENKELT: Ved å skrive inn IP-adressen (1), kopiere ut telefonnummeret (2) og søke det opp på 1881.no (3) får vi opp eieren av IP-adressen.
Fra IP-adresse til telefonnummer
Potensielt flere hundre NextGenTel-kunder kan i skrivende stund enkelt avsløres gjennom tre steg:- Du skriver inn kundens IP-adresse i nettleseren.
- Et nettside dukker opp med telefonnummeret til kunden.
- Ved å søke opp telefonnummeret får du opp navn og adresse, altså den fulle identiteten til IP-adressens eier.
Nettsiden er et administrasjonsverktøy for ruteren Tilgin Vood Residential Gateway, som enkelte IP-telefonikunder bruker til både vanlig nettilgang og IP-telefoni. Uten å kreve passord viser nettsiden ruterens status, som inkluderer telefonnummeret, og dermed avslører eieren av IP-adressen.
Dette er ikke noe kunden selv har valgt, men noe boksen gjør helt av seg selv, og er nok et eksempel på faren åpne enheter på nettet utgjør.
Se hva DinSide fant åpent på nettet i Norge – babymonitor, overvåkningskameraer, strømstyring og filservere
Flere hundre trolig rammet
– Jeg må si dere er flinke. Her fant dere et hull vi ikke var klar over. Så ærlig må jeg være, sier teknologidirektør Jørn E. Hodne i NextGenTel til DinSide.Det skal være noen tusen av disse boksene i markedet, og noen hundre av disse skal ha hatt programvare som delte ut telefonnummerne. NextGenTel skal selv ha oppdatert ruterne til nyere programvare som ikke viser nummerne, men av ukjente årsaker har ikke alle ruterne fått denne oppdateringen.
Hva er en IP-adresse?
- Ruteren din, "boksen som gir deg internett", deler ut unike, interne IP-adresser til alle enheter som er koblet på den.
- Men det er den eksterne IP-adressen som er synlig for omverdenen, og den deles av alle enheter som er koblet på ruteren.
- Dette gjør det problematisk å bruke IP-adresser som bevis for at én bestemt person har begått et lovbrudd, da IP-adressen egentlig bare identitifserer ruteren.
- Den eksterne IP-adressen er for de aller fleste dynamisk. Det betyr at du bytter IP-adresse med jevne mellomrom, men det kan gå lang tid mellom hver gang det skjer.
- Hvem som bruker hvilken IP-adresse når, logges av internettleverandøren din, men dette skal lagres i maks tre uker. EUs omstridte datalagringsdirektiv krever at slike lister lagres i et halvt år.
- Listene er taushetsbelagte etter Lov om elektronisk kommunikasjon (ekom-loven) § 2-9 første ledd.
- (Kilder: Wikipedia.no, Aftenposten.no, HowToGeek.com, Digi.no, Post- og teletilsynet)
Etter at DinSide gjorde NextGenTel klar over faren, gikk selskapet i gang med å oppdatere de resterende boksene, slik at ingen lenger spyr ut telefonnummer. Har kundene derimot selv stengt ruteren for oppdateringer utenfra er det ikke så mye NextGenTel kan gjøre.
OPPDATERING: Søk samme dag som denne artikkelen ble publisert, tyder på at problemet nå i stor grad er rettet.
Oppdater dingsene dine og søk på deg selv – slik sikrer du deg mot åpne enheter på nett
Derfor er IP-adresser hemmelige
Du legger fra deg IP-adressen din mange steder på nettet uten å vite det selv.For eksempel: Skriver du en kommentar under denne artikkelen uten å oppgi ekte navn, får DinSide likevel se den ekte IP-adressen din i debattsystemet vårt. Dermed er det viktig at vi ikke får koblet denne adressen til en konkret person, om du ønsker å være anonym. Ettersom IP-adresser har en lovpålagt anonymitet i Norge, få vi heller ikke det.
Med mindre du er en av de uheldige NextGenTel-kundene, selvfølgelig. Da kan vi i skrivende stund bare taste inn IP-adressen i nettleseren og få opp telefonnummeret ditt, om ikke selskapet har oppdatert ruteren din.
Det er også helt åpent hvilke IP-adresser som laster ned og deler ut torrent-filer, ofte brukt til piratkopiering. IP-adresser herfra blir logget av piratjegere, som det norske advokatfirmaet Simonsen Vogt Wiig. Men da de ville ha ut hvem som satt bak piratens IP-adresse i den kjente Max Manus-saken, måtte de gå helt til Høyesterett, da Altibox nektet å avsløre kunden.
Les også: Norsk kundeservice lagrer chattingen din uten å advare, noen lagrer også IP-adresser
"Ikke engang til politiet"
– Vi tar dette alvorlig. Vi har startet oppdateringen og selv meldt saken til Datatilsynet. Den verdenen vi lever i er veldig kompleks, spesielt i det volumet vi har i vår bransje, men det er vårt ansvar, forteller Hodne i NextGenTel.Hvorvidt selskapet har brutt konsesjonen de har fått fra Datatilsynet om å behandle kundeopplysninger, eller brutt ekom-loven som forbyr selskapet å gi ut slik informasjon, kan ikke Hodne konkludere på. Men de har uansett valgt å fortelle hva som har skjedd, og hva de gjør for å rette opp.
– Generelt: Hvor godt beskytter dere hvilke kunder som skjuler seg bak hvilke IP-adresser?
– Vi følger lovgivningen. Selv ikke politiet får dette uten en rettslig kjennelse, svarer Hodne.
Kan være straffbart
IP-adressers anonymitet er regulert etter ekom-loven, og ekom-loven forvaltes av Post- og teletilsynet (PT). Rådgiver Jarle Langeland i PT forteller at IP-adresser kan være fritatt for taushetsplikten, men bare for myndigheter som politiet som vil vite hvem som brukte IP-adressen på konkrete tidspunkt.Andre ganger må politiet be om fritak fra taushetsplikten gjennom PT, eller få en rettslig kjennelse. For alle andre er opplysningene uansett taushetsbelagte.
Tilgin om boksene deres
- De aktuelle boksene, Vood Residential Gateway, ble laget av selskapet Tilgin.
- – Vood-produktene kan konfigureres slik nettleverandøren vil, forteller kommunikasjonsdirektør Eric Hjelmestam i Tilgin til DinSide.
- – Vi har ikke noen innsikt i hva slags betraktninger Nextgentel har gjort, så vi anbefaler deg å snakke med dem.
– Hva tenker du om at NextGenTel har gitt ut denne informasjonen åpent?
– Det er uheldig, svarer rådgiveren kort.
– Og potensielt ulovlig, og dermed straffbart?
– Ja, med strek under potensielt, for denne saken kjenner vi bare gjennom DinSide. Informasjonen er omfattet av taushetsplikt, og grove brudd blir omfattet av ekom-lovens straffebestemmelser, fortsetter Langeland, som ikke kan uttale seg om brudd har skjedd uten at tilsynet har behandlet saken.
– Er det aktuelt for dere å reagere i dette tilfelle?
– Da må vi gå inn i saken på en helt annen måte enn vi har gjort foreløpig. Det aller viktigste er at selskaper som eventuelt har slike potensielle sikkerhetshull, straks retter dem.
Les også: DinSide avslørte at norske mobiloperatører lagret surfelogger – så satt Datatilsynet ned foten
RSS FEEDER:
Mest kommentert
Slik er Google Inbox
27-tommer iMac har fått superhøyoppløst skjerm
Inbox – ny eposttjeneste fra Google
Bedre trådløs deking? Vi har testet tre løsninger
Sikre nettkonti med tofaktorautentisering