Journalister og ansatte kan ha vært sporbare, bekrefter NRK

– Jeg vil si at denne saken er ganske alvorlig. Telia er en av de største teleoperatørene i Norge, og basert på våre tester og testene til NRK, ser det ut til at mange mennesker kan ha blitt berørt av dette problemet, sier sikkerhetsforsker Harrison Sand til Medier24.

Han er mannen som oppdaget sårbarheten i Telias mobilnett, som NRK omtalte onsdag.

Feilen gjorde det mulig å hente ut informasjon om hvilken basestasjon en mobil var koblet til – i praksis et grovt bilde av hvor en person befant seg – kun ved å ringe vedkommende. I flere tilfeller trengte ikke mottakeren å svare. 

– Dette inkluderer personer med viktige samfunnsfunksjoner, som journalister og militært personell, sier Sand.

Han peker på at slike sårbarheter potensielt kan brukes til å kartlegge bevegelser og kontaktmønstre.

– Dette er et område nasjonalstater er interessert i. Jeg ville ikke blitt overrasket om noen andre hadde oppdaget dette og brukt det, sier han.

Sikkerhetshullet ble lukket allerede tirsdag.

Kan ramme kildevernet

At nettopp journalister kan ha vært berørt, gjør saken sensitiv.

NRK opplyste selv i sin dekning at de er Telia-kunde. Det reiser spørsmål om en stor organisasjon – med rundt 3000 ansatte – kan ha vært eksponert.

– Vi vet ikke om noen av våre medarbeidere har blitt sporet på denne måten, men det er riktig at de kan ha vært sporbare, sier sikkerhetssjef Jan Emil Gran i NRK til Medier24.

NRK erkjenner at sårbarheten også kan ha konsekvenser for journalistisk arbeid.

– Alt teknisk utstyr vi bruker kan ha sårbarheter. Dette er vi bevisst på, spesielt i journalistisk arbeid mot sensitive kilder, sier Gran.

Han opplyser at NRK allerede har tydelige råd til egne journalister:

– Vi råder journalister til å gjennomføre samtaler med sensitive kilder uten mobiltelefon.

Mobilbruk i seg selv kan innebære en risiko i møte med kilder – særlig i lys av denne typen sårbarheter.

NRK opplyser at saken tas på alvor internt.

– Vi ser alvorlig på denne sårbarheten og muligheten for at NRKs medarbeidere, inkludert journalister, kan ha blitt sporet. I første omgang har vi vært opptatt av å informere våre ansatte, sier Gran.

– Vi kommer til å følge opp saken med Telia.

Telia: – Begrenset omfang

Telia avviser imidlertid at sårbarheten har hatt så stort omfang som det kan fremstå.

– Våre undersøkelser viser at avviket oppsto høsten 2023 som følge av en konfigurasjonsendring, skriver informasjonssjef Daniel Barhom i Telia Norge i en e-post til Medier24.

Han mener det er snakk om en begrenset eksponering:

– Vi har videre ingen hendelsesrapporter fra kunder om unormal telefonaktivitet. Dette tyder på at avviket har hatt et begrenset omfang, skriver Barhom.

Telia opplyser også at de ikke har funnet tegn til at sårbarheten er blitt utnyttet.

– Vi har per nå ingen funn som tyder på at avviket har blitt utnyttet av ondsinnede aktører, skriver Barhom.

Selskapet har varslet både Datatilsynet og Nkom, og opplyser at bedriftskunder er informert.

Sikkerhetsforsker Sand mener samtidig at selve mekanismen bak sårbarheten gjør det vanskelig å avdekke eventuell misbruk i ettertid.

– Selv om Telia skulle gått gjennom loggene, ville det bare sett ut som helt vanlige anrop. Det er umulig å skille mellom legitime samtaler og noen som faktisk sporer andre, sier han.

Han forklarer at feilen lå i en sentral del av mobilnettet, og at slike systemer ofte er komplekse og lite gjennomsiktige.

– Dette er ikke bare et Telia-problem. Det er et bransjeproblem, og jeg ville ikke blitt overrasket om lignende svakheter finnes andre steder også, sier han.