Petteri Pyyny
18. huhtikuuta, 2019 13:07
Telian viime vuonna lanseeraamassa Telia Dot -liittymässä on havaittu tietoturvaongelma, joka on mahdollistanut sen, että täysin tuntematon ihminen on voinut kaapata käyttäjän puhelinnumeron itselleen.
Ongelma ei ole varsinaisesti tekninen eikä ole vaatinut mitään varsinaista erityisosaamista, vaan on liittynyt Telian käyttämään heikkoon henkilöllisyyden varmennukseen. Jos kuluttaja on halunnut vaihtaa oman, toisella operaattorilla olevan liittymänsä Telia Dot-liittymään, hän on voinut tehdä siirron mobiilisovelluksen kautta.
Ongelmaksi on muodostunut se, että pyydettäessä siirtoa, Telia Dot -sovellus ei ole varmentanut siirron tekijän henkilöllisyyttä, vaan lomakkeessa on kysytty siirrettävä puhelinnumero, siirrettävän liittymän haltijan henkilötunnus sekä osoite, johon uusi SIM-kortti toimitetaan. Osoite on voinut olla mikä tahansa osoite, eikä sen ole tarvinnut liittyä henkilötunnukseen eikä siirrettävään puhelinnumeroon. Mikäli pahatahtoisella henkilöllä on siis ollut tiedossa jonkun henkilön hetu ja puhelinnumero, hän on voinut "kaapata" liittymän Telia Dotin alle ja tilata SIM-kortin omaan osoitteeseensa ja ottaa sen käyttöön.
Telia on sittemmin tiukentanut tarkistuksia, jos liittymä tilataan sähköisesti, mutta puhelimitse liittymän siirtoa tilattaessa riittää edelleenkin pelkän puhelinnumeronn ja henkilötunnuksen tietäminen. Mymälässä liittymävaihtoa tehtäessä vaaditaan henkilöllisyyden todistaminen.
Puhelinliittymä kaappaamalla voidaan ohittaa monien tekstiviestiä ja kaksivaiheista tunnistautumista käyttävät palveluiden luoma lisäturva. Aiheesta uutisoi ensimmäisenä Ilta-Sanomat. Liittymän kaappausta tällä tavoin kutsutaan simswapiksi.
Ongelma piilee nimenomaan Telian tavassa varmentaa henkilöllisyys, joten myös muiden operaattoreiden, kuten vaikkapa DNA:n ja Elisan liittymä voidaan kaapata Telia Dot-liittymäksi jonkun toisen henkilön käyttöön.