Skandal av Eniro

Personlig integritet är nog några av de mest använda orden de senaste månaderna, men tyvärr har debatten nästan enbart handlat om FRA och vad staten och myndigheter skulle kunna göra mot medborgarna. Debatten borde också handla om vilka integritetshot som finns runt om oss dagligen när vi använder kundkort, googlar och bär med oss mobilen.

Dagens stora skandal, för det vill jag absolut kalla det, är att Eniros mobilsöktjänst haft en bugg som gjort att vem som helst kunnat kolla var personer med 3, Telenor och kanske Telia-abbonemang befunnit sig. Det är inget större problem för mig om någon får veta var jag är, men för de människor som lever under hot så kan det vara fullkomligt förödande om fel person får veta var de finns. Det är bara att hoppas att Eniros skandalösa misstag inte hunnits utnyttjas för något sådant syfte.

This entry was posted in General. Bookmark the permalink.

12 Responses to Skandal av Eniro

  1.   says:

    Jodå, om någon vill besöka ditt hem när du inte är hemma så är det ett problem.Du kunde lika gärna sätta en informationstavla på dörren – Jag är inte hemma. – Jag är ganska säker på vad folk som sysslar med brotsförebyggande råd skulle anse om en sådan skylt när folk reser på semester.

    Jag misstänker att du bygger din bekymmerslöshet på det rena mjölets argument, där du ser dig själv som snövit och därmed utgår från att andra gör samma bedömning om dig.

  2. Tja. Det här är ju knappast en större skandal än FRA-lagen dock. Illa? Absolut! Men här handlar det om en bugg, inte att man med ren vilje vill massavlyssna ett helt lands befolkning.

  3. JörgenL says:

    Bugg vet jag inte om jag vill kalla det, snarare obgripligt korttänkt, som att ingen ens reflekterat över att nån annan än telefonens innehavare skulle kunna ange telefonnummret.

    Men visst har du rätt i att FRA-lagen är sju resor värre på det hela taget, den drabbar alla, alltid, utan möjlighet att komma undan.

    Eniros fadäs drabbade ett fåtal under en viss tid, och bara med en manuell arbetsinsats för den som ville snoka. Den var också möjlig att förutse och i den meningen transparent, och den gick lätt att komma undan genom att stänga av telefonen.

    Därmed inte sagt att det inte var en obegriplig dumhet, och en illustration till vart naivt och oreflekterat användande av tekniska möjligheter kan leda.

  4. Erik says:

    Hur står det till juridiskt med att Telia, Tre och Telenor från början har överlämnat den här informationen till Eniro, får de göra det?

  5. site admin says:

    Att jag inte är hemma betyder inte att ingen annan i huset är hemma. Men visst, en möjlighet att med säkerhet få veta att en person inte är hemma kan öka risken för inbrott.

    I jämförelsen mellan Eniros skandal och FRA kan jag inte låta bli att fundera på om ni inte ändå tycker att det är värre att vem som helst kan få tag i en i vissa lägen känslig uppgit än att en myndighet med högsta sekretess kan i extrema undantagsfall få tag i uppgifter av misstag för att sedan direkt förstöra dem?

    Jörgen, det skulle ha funnits en kontroll av att kartfrågan kom från rätt mobil, men det var den kontrollen som inte fungerade pga en “bugg”.

    Erik, jag tycker att din fråga är mycket intressant. Finns det någonstans i abonnemangsavtalet att operatören får lämna ut eller sälja uppgiften var jag/min mobil befinner sig? Jag vet inte svaret, men någon annan kanske gör det.

  6. Johan G says:

    Johan, FRA är inte en monolitisk myndighet. FRA består av människor (jag ser gärna en kommentar till min längre kommentar om detta till inlägget under).

    Det är klantigt att missa en sådan bugg, och det finns en risk att någon kom, eller kunde kommit, till skada under den tid som gick fram till dess buggen fixades. Men det är trots allt ett misstag, något som inte gjordes med vilje, och när man upptäckte felet så skyndar man sig att rätta till det.

    Om Stinas våldsamme exmake skulle råka skriva in Stinas telefonnummer i Eniros sökmoj under den jämförelsevis korta tid som buggen var aktiv, så kan han få tag i uppgifter han inte ska. Av misstag.

    Om Stinas våldsamme exmake skulle råka jobba på FRA, kabelspaningsavdelningen, så kan han precis när som helst ta reda på var Stinas telefon finns, eller varför inte till vilka nummer Stinas gamla vänner ringer, om han nu inte har Stinas nuvarande nummer. Eller till vilka mailadresser Stinas gamla vänner mailar, vilket ip-nummer som hämtar hem Stinas mail (han kan ju, gubevars, läsa igenom mailen som de gamla vännerna skickar så att han ser vilka som är och inte är till Stina), och var i landet det ip-numret befinner sig. Det enda som krävs är att han har tillgång till kabelspaningssystemet.

    Det är inte en bugg i systemet. Det är inte ett misstag någon kommer att rätta till, utan det är precis så som systemet är tänkt att fungera, fast mot någon annan än Stina, då. Men, se, där är tekniken personneutral – Systemet gör ingen skillnad på om sökbegreppen handlar om Stina eller rysk truppförflyttning.

    Det är byggt så med flit, av dig. Är det meningen, tro?

  7. Erik says:

    I jämförelsen mellan Eniros skandal och FRA kan jag inte låta bli att fundera på om ni inte ändå tycker att det är värre att vem som helst kan få tag i en i vissa lägen känslig uppgit än att en myndighet med högsta sekretess kan i extrema undantagsfall få tag i uppgifter av misstag för att sedan direkt förstöra dem?

    Absolut inte! Jag har mycket större förtroende för staten som kontrollant av privata företag än som kontrollant av sig själv. Om det kommer fram att FRA missbrukar sin makt kommer förmodligen väldigt lite hända, kanske att någon får lämna jobbet men det är allt. För ett privat företag däremot så finns det dels konsekvenser för företaget med kunder som flyr m.m. och dessutom löper de som är ansvariga en betydligt större risk att hamna i fängelse.

  8. site admin says:

    Johan G, “Stinas exmake” kan inte alls följa Stinas meddelanden på det sättet som du hittar på. En anställd skulle aldrig kunna lägga in sökparametrar okontrollerat och sedan sitta och ha någon slags privatspaning. Inte ens ni som är motståndare till all signalspaning kan väl tro att det fungerar på det sättet.

    Erik, om FRA som myndighet eller någon anställd begår brott så kommer det att bli åtal och rättegång på samma sätt som om ett privat företag skulle begå brott. Jag tror inte att någon annan myndighet är hårdare kontrollerad än FRA just nu och de har inte råd med minsta snedsteg.

  9. JörgenL says:

    Det beror faktiskt på vad “Stinas exmake” har för funktion på FRA…

    Om han är en av de programmerare som sitter och utvecklar filtret, eller konfigurerar nätverket eller på annat sätt har tillgång till systemen på admin-nivå så är det inte alls så osannolikt att han har möjlighet att peta in “privata” sökbegrepp, vilket sannolikt skulle vara svårt att upptäcka ifall det stämmer att det finns hundratusentals söksträngar i systemet. Är han programmerare så finns det dessutom chans att han kan peta in en egen “bakdörr” för att köra egna sökningar. Det kan vara lite “testkod” som “glömts kvar” när programmet går i drift. Sånt är oerhört svårt att hålla koll på i ett system som kontinuerligt vidareutvecklas.

    Det beror väldigt mycket på vilken typ av säkerhetsfunktioner man har lagt in. Enligt min erfarenhet så brukar man vara väldigt noga med att se till att systemen är säkra gentemot “användarsidan” medan dom väldigt ofta är mycket dåligt säkrade mot “systemsidan”. Så har det sett ut i de flesta system jag stött på under mina 30 år i databranschen, och det skulle inte förvåna mig ett skvatt om det ser ut så på FRA också.

    Vad gäller brottslighet på FRA är ju problemet att det sannolikt inte kommer att upptäckas eftersom verksamheten är så förtvivlat hemlig att ingen får snoka i den, det är ju det som är min kritik av kontrollen, bara FRA själva kan veta vad som egentligen försiggår.

  10. Johan G says:

    Johan, om du lite överlägset talar om för mig att “det kommer aldrig att funka så, fattaruväl”, så vill jag nog att du talar om varför det skulle vara så omöjligt. Som JörgenL beskriver ovan: Det finns människor som sitter och arbetar med att lägga in och ta bort “sökparametrar” och att hantera träffarna. Om du säger att det aldrig skulle kunna gå till så, så får du nog förklara hur, som Jörgen säger, säkringen ser ut mot systemsidan.

    Du förutsätter att det inte “kan gå till så” eftersom FRA är en kraftigt kontrollerad myndighet. Jag förutsätter att folk är som folk är mest, och kommer att ta de möjligheter som bjuds om de inte är kontrollerade. Så: Hur ser isåfall kontrollen ut, som gör att ovanstående inte kan hända?

  11. Erik says:

    Erik, om FRA som myndighet eller någon anställd begår brott så kommer det att bli åtal och rättegång på samma sätt som om ett privat företag skulle begå brott. Jag tror inte att någon annan myndighet är hårdare kontrollerad än FRA just nu och de har inte råd med minsta snedsteg.

    Det tror jag inte ett ögonblick på. Om någon anställd på FRA lämnar ut information om Sverige till Ryssland, då tror jag att något händer. Jag vet inte, men om ett privat företag hade anmälts, hade det ärendet verkligen hanterats så som beskrivs här, d.v.s. skicka anmälan av FRA till FRA, så att de vet exakt vad de behöver dölja, och sedan ge dem gott om tid att röja undan alla bevis? Jag har väldigt svårt att tro det.

  12. Erik says:

    Som sagt, inget åtal mot FRA. Motiveringen är underlig för mig, men du kan jurudik bättre, åklagaren säger “Att ta del av radiobefordrade elektroniska meddelanden som sänds via etern kan inte anses vara olaglig avlyssning och är inte något brott mot lagen om elektronisk kommunikation”.

    Nu borde väl kanske inte åtalet handla om att de avlyssnat via etern, utan om att man faktiskt inte får spara information som man kommer åt i etern hur som helst. T.ex. så skulle det vara fullt lagligt för mig att ställa mig utanför en Moské och försöka ta reda på identiteten på alla som går in, men det skulle däremot vara olagligt om jag skrev ner en lista med dessa identiteter.

    En annan sak som är underlig är att det i grundlagen står
    6 § Varje medborgare är gentemot det allmänna skyddad mot påtvingat kroppsligt ingrepp även i annat fall än som avses i 4 och 5 §§. Han är därjämte skyddad mot kroppsvisitation, husrannsakan och liknande intrång samt mot undersökning av brev eller annan förtrolig försändelse och mot hemlig avlyssning eller upptagning av telefonsamtal eller annat förtroligt meddelande. Lag (1976:871).

    Den här paragrafen får staten visserligen bryta mot om det finns ett positivt lagstöd, men finns det verkligen det för FRA? Det står ju uttryckligen att vi ska vara skyddade mot avlyssning av telefonsamtal, och epost måste ju rimligtvis falla under “annat förtroligt meddelande”.

    För mig verkar det som att staten som vanligt inte klarar av att granska sig själv på ett korrekt sätt. Du får gärna fylla i och berätta för mig om/varför jag har fel, men jag tycker detta verkar vara tydligt brott mot grundlagen – men att som vanligt kommer ingen ställas till svars.

Leave a Reply

Your email address will not be published.