Vad innebär incidenten hos Telenor rent konkret?

Efter gårdagens incident hos mobiloperatören Telenor har vi fått frågor om vad händelsen egentligen innebär. I denna artikel sammanfattar vi situationen och förklarar vikten av att aldrig låta någon tredje part använda ens e-legitimation (t.ex. Mobilt Bank-ID).

Bakgrund

Igår blev det känt att Telenor hade använt e-legitimation på ett otillåtet sätt för att låta kunder legitimera sig på webbtjänsten Mitt Telenor. I själva verket legitimerade kunderna sig mot Skatteverket och gav därigenom såväl Telenor som tjänsteleverantören tillgång till Skatteverkets tjänst Mina sidor. Så här beskriver Telenor det som hänt.

Du som läser detta har sannolikt nyligen fått ett SMS från Telenor och ett brev från Skatteverket. Detta med anledning av den tjänst (Identiway) som du använde i samband med att du legitimerade dig som betalningsansvarig på Mitt Telenor. Tjänsten legitimerade dig genom att låta dig logga in på Skatteverket med Bank-ID för att bekräfta din identitet. På grund av ett fel i tjänsten och efter dialog med Skatteverket har vi beslutat att stänga ner den.

Telenor var egentligen endast ute efter personnumret, men på grund av en felaktig konfiguration råkade de även hämta namn och adress. Rent teoretiskt skulle de även kunnat hämta information om inkomst och skatt. Telenor uppger dock att de inte hämtade sådan information. De riktar även kritik mot Skatteverkets mejl då de anser att det var missvisande och utlämnade viktig information om vilka personuppgifter som faktiskt hämtats. Skatteverkets mejl finns publicerat i sin helhet hos bland annat Kryptera.se. Mer information om incidenten finns att läsa på Telenors webbplats.

Vad ska jag tänka på?

Det finns två gyllene regler när det kommer till e-legitimation såsom Bank-ID.

  • Du ska endast logga in dig själv. Logga aldrig in någon annan.
  • Kontrollera att det är rätt tjänst du loggar in på innan du knappar in din pinkod (eller lägger ditt finger på fingeravtrycksläsaren). Om du loggar in med Mobilt Bank-ID på Telenors webbtjänster ska det stå Telenor i Bank-ID-appen. Det ska inte stå Skatteverket.

Kom ihåg! Något är fel ifall en annan webbtjänst än Skatteverkets ber dig logga in genom att e-legitimera dig mot Skatteverket. Samma sak gäller om någon utomstående försöker få dig att logga in till din bank åt dem. Om du loggar in någon annan med din e-legitimation är det samma sak som att du lånar ut ditt körkort för att låta någon annan utge sig för att vara dig (rent juridiskt klassas det som missbruk av urkund).

Behöver jag som Telenor-kund göra något?

Nej. Det finns inget som tyder på att personuppgifter har hamnat på avvägar. Telenor har själva rapporterat händelsen till Datainspektionen. Ifall du har vidare frågor kan kontakta Telenor på personuppgifter@telenor.se eller 0200-770160.

Kommentarer

Delta i diskussionen. Logga in med ditt befintliga konto på Nikka Systems Academy eller skapa ett nytt konto helt gratis.

Kommentar