Yousee lækker 10.000 hemmelige numre og adresser på offentlig søgemaskine

Det er endnu uvist, hvordan selskabets digitale flyttemænd lykkedes med at flytte de mange danskeres hemmelige informationer i søgemaskinen 118.dk.

Yousee har ‘ved en fejl’ flyttet 10.000 fastnetkunders hemmelige numre og/eller adresser fra et lukket it-system over i deres åbne database 118.dk, hvor de har ligget til fri afbenyttelse i helt op til 11 uger.

Da Yousee opdager fejlen i maj, fjerner selskabet informationerne fra siden og selskabet er i skrivende stund i gang med at ringe til alle de berørte for at informere dem om, at deres ellers skjulte oplysninger har ligget til offentlig skue og for at informere dem om en eventuel risiko.

Der kan da også være ganske alvorlige grunde til at man skjuler sit nummer og adresse for omverdenen. En voldelig ekskæreste, uønsket opmærksomhed for kendisser eller slet og ret et ønske om en større grad af privatliv.

Selv skjulte jeg, Version2's journalist, i en årrække mit nummer og min adresse, fordi jeg planlagde at vidne mod en mand, som jeg vidste havde rocker-relationer.

Hvis mit telefonselskab dengang ikke havde holdt tæt med min adresse, kunne det have haft betydelige konsekvenser.

Skjult nummer Man kan, hvis man finder det nødvendigt, bede om at få sine kontaktoplysninger skjult hos kommunen via borger.dk Men i så fald vil ens telefonnummer og adresse stadig indgå i ens telefonselskabs register. Derfor skal man også bede sit telefonselskab om at skjule ens oplysninger. Det er denne opgave, TDC ikke varetager ordentligt, når de lækker 10.000 danskeres oplysninger.

Yousee krænker frihedsretten

At der netop er tale om informationer, de berørte har bedt om at få skjult gør det ekstra kritisabelt. Også juridisk, fortæller den GDPR-specialiserede advokat Jacob Naur fra Hejm advokater:

»GDPR handler i grunden om at sikre folks frihedsret. Når man offentliggør informationer, der aktivt skulle holdes skjult for at beskytte den ret, så krænker man virkelig frihedsretten og dermed GDPR,« lyder det entydigt fra advokaten, der håber, at Yousee har meldt lækket til Datatilsynet.

Og at de har en rigtig, rigtig god forklaring.

»De skal dælme kunne svare ordentligt for sig, for de har en rigtig dårlig sag. Det her må bare ikke ske, det er for tosset,« siger Jacob Naur.

Yousee har ikke svaret på, om de har anmeldt hændelsen til Datatilsynet endnu og ønsker ikke at stille op til interview. Selskabet skriver dog i et skriftligt svar til Version2, at fejlen skyldes, at man skulle flytte de mange data fra ét it-system til et andet.

Herefter har Yousee svaret på nogle af Version2’s spørgsmål, men har endnu ikke forklaret, hvordan selskabets digitale flyttemænd lykkedes med at flytte 10.000 danskeres hemmelige informationer over til det digitale svar på en telefonbog.

Yousee: Et tilbageslag

»Vores kunder har betroet os deres kontaktinformationer, og de forventer med rette, at vi kan behandle data fortroligt. Vi beklager dybt, at vi ikke har levet op til dette. Hændelsen er et tilbageslag for os, fordi vi løbende investerer i beskyttelse af vores kunders data,« skriver direktør for bredbånd og tv i YouSee, Jacob Mortensen, i en mail til Version2.

Yousee skriver desuden, at de har lært noget af episoden, men har endnu ikke forklaret over for Version2, hvad de har lært.

Fejlen blev rettet den 29. maj, skriver Yousee. Alligevel går der mere end to uger før en twitterbruger skriver, at han er blevet ringet op og informeret om fejlen, og desuden er blevet kompenseret med en måneds gratis bredbånd.

Selv udtrykker han dog tvivl omkring hvorvidt han nogensinde får gavn af den kompensation.

Hvorfor der går så længe fra Yousee opdager fejlen til Kamran Sawar ringes op, har Yousee ikke svaret på.

Beskeden kompensation

Version2 er ikke de eneste, der har ubesvarede spørgsmål til Yousee. I den samme tråd på Twitter skriver Alex Holst, der til daglig blandt andet rådgiver virksomheder om GDPR, at han undrer sig over værdien af kompensationen;

Så jeres privatliv er nogle få hundrede kroner værd for YouSee, når de selv skal sige det.— Alex Holst (@infosecholsta) 18. juni 2018

Yousee oplyser dog, at brugerne udover en måneds gratis bredbånd har fået et tilbud om at skifte nummer gratis. Om det samlet set er en fair kompensation, har Yousee ikke svaret på.

I et interview med Version2 uddyber Alex Holst, der til daglig arbejder med it-sikkerhed og blandt andet rådgiver virksomheder om GDPR, hvorfor denne sag er ekstra frustrerende:

»Det kan ikke passe, det skal være gratis at afsløre folks adresse, og det lader det jo til, at det er nu,« siger Alex Holst der peger på, at vi endnu ikke har set nogle bøder for overtrædelse af GDPR i Danmark.

Adresser kategoriseres som almindelige persondata.

»Det er som om, der skal lig på bordet før folk tager det her seriøst, så jeg håber at der kommer til at ske noget,« lyder det fra sikkerhedsmanden, der desuden har tilbudt en af de berørte at hjælpe ham med at formulere en klage til Datatilsynet. For den maksimale bøde ér skræmmende for virksomheder, fortæller han.

»Fire procent af den årlige omsætning - det er der ikke nogen, der har lyst til.«

Det ville vi gerne have haft svar på

Version2 har stillet Yousee en række yderligere spørgsmål, som selskabet ikke har haft mulighed for at svare på inden vores deadline. Udover de ubesvarede spørgsmål i artiklen ovenfor ville vi gerne have haft svar på følgende:

I skriver, at I opdagede problemet efter en række kundehenvendelser. Hvad siger kunderne til det her?

Hvad er jeres tanker om at I ikke opdager det her selv?

Hvordan kunne det her helt konkret ske og hvad har i gjort for at sikre, at det aldrig sker igen?

I kontakter kunderne to en halv uger efter lækket, hvorfor først nu?

I skriver, I har lært noget i jeres mail. Hvad har I lært?

Efter Version2's deadline er Yousee vendt tilbage med svar på de sidste spørgsmål. Svarene kan læses her.

Yousee oplyser endvidere, at man har informeret Erhvervsstyrelsen, som ifølge Yousee er den relevante myndighed i forhold til denne sag. Red.