Chess brukte bursdag som «hemmelig passord»

Dinside I fjor høst ble en kvinne fakturert for 6.653 kroner etter oppringninger til diverse givernumre, altså telefonnumre brukt for å samle inn penger over telefonregninga.

Problemet var bare dette: Kvinnen hadde sperret abonnementet for slike teletjenester. Noen hadde derfor først fjernet denne sperren, uten at hun visste om det.

Hvordan dette var mulig? Ved å bare oppgi fødselsdagen hennes.

LES OGSÅ: Chess avslutter fribruk-abonnement, «nå vil de bare bli kvitt oss»

«Hva er bursdagen din?»

Saken rulles ut i et vedtak fra Brukerklagenemnda for elektronisk kommunikasjon. Kvinnen klagde nemlig saken videre, etter at Chess nektet å gi henne pengene tilbake.

 (Foto: OLE PETTER BAUGERØD STOKKE)

IKKE HEMMELIG: Når folk er født finner man ofte lett ut av, for eksempel på Facebook. Her står ofte både bursdagen og alderen; altså både fødselsdato og -år. (Foto: OLE PETTER BAUGERØD STOKKE)

I vedtaket forteller operatøren at sperren ble opphevet fordi vedkommende som ringte Chess sin kundeservice hadde oppgitt kvinnens riktige navn og fødselsdato. Dette skal være rutinen, og anses som godt nok bevis for at de som ringer er kundene de utgir seg for å være.

«Dette mener vi ikke er opplysninger som er tilgjengelig for enhver person uten at det er mistet for eksempel bankkort eller annen form for ID» uttaler Chess i vedtaket.

«Det er allment praktisert at dette er god nok verifisering i mobilbransjen, da vi ikke har mulighet til å lagre for eksempel personnummer i henhold til dataloven».

LES OGSÅ: Brukt opp datakvota? Da bør du passe deg!

Krav om ID

Alle mobiloperatører må følge ekom-loven. Blant annet for å unngå ID-tyverier og lette politiets arbeid, sier loven blant annet:

«Tilbyder av offentlig telefontjeneste skal ved inngåelse, endring eller opphør av avtalen sikre at sluttbruker er entydig identifisert

KRITISK: Fagsjef Kenneth Olsen i Nkom synes Chess kunne spurt om noe vanskeligere. (Foto: NKOM)

KRITISK: Fagsjef Kenneth Olsen i Nkom synes Chess kunne spurt om noe vanskeligere. (Foto: NKOM)

Derfor må du for eksempel vise identifikasjon når du kjøper mobil med abonnement over disk. Men å endre en sperre er ikke det samme som å inngå et nytt abonnement. Fagsjef Kenneth Olsen i Norsk kommunikasjonsmyndighet (Nkom) tror derfor vårt eksempel ikke vil falle innunder ID-bestemmelsen.

– Men generelt, hva synes du om å bruke bursdag som passord?

– Jeg tenker at beskyttelsen er litt lav. Jeg kan fødselsdatoen til mange venner, sier Olsen til Dinside.

LES OGSÅ: Norske mobiloperatører lagret kundechat uten å advare

Ikke godt nok

At sikkerheten er lav, er Brukerklagenemnda enig i. De mener den er så lav at kunder som blir misbrukt på grunn av den, ikke kan stilles økonomisk ansvarlig.
«Nemnda (…) kjenner til andre aktører som krever skriftlighet eller kjennskap til koden som ble benyttet under etablering av sperren, før sperren kan opphøre. En slik praksis gir etter nemndas oppfatning juridisk eier en langt bedre rettssikkerhet» skriver de i vedtaket sitt, og konkluderer:

«Nemnda finner at Chess sine rutiner på området ikke tilfredsstiller de krav til notoritet og rettsikkerhet som må kreves ved sletting av en sperre».

De mener derfor Chess bør se bort fra kravet på 6.653 kroner, og operatøren lover Dinside at de har fulgt vedtaket.

LES OGSÅ: Bruken som koster deg mest på mobilen

 (Foto: CHESS)

SLETTER KRAVET: Administrerende direktør Arve Andreassen i Chess. (Foto: CHESS)

Skal få passord

Ifølge Chess-direktør Arve Andreassen ber kundeservice om opplysninger som fødselsdatoer og e-post-adresser fordi kunden ønsker rask hjelp, uten å måtte huske passord.

Men nå jobber de visstnok med et sikrere system, hvor nettopp egendefinerte passord skal bli normen. Slik selvbetjeningen på nett fungerer i dag.

– Hvorfor hevder dere i vedtaket at bursdager ikke er allment tilgjengelige?

– Om noen har påstått det, kan jeg dementere det. Selvfølgelig er bursdager allment tilgjengelige, sier Andreassen til Dinside.

Kilde for: Mobil – DinSide.no