Forside Baggrund

Nokia-telefoner har systematisk sendt personoplysninger til Kina

-

NRK: Nokia-telefoner har systematisk sendt potentielt personfølsomme oplysninger til en server i Kina.

Tilbage i februar der fik magasinet NRKbeta, der er en del af norske NRK, et tip fra en læser.

Nokia-bruger Henrik Austad havde overvåget trafikken fra hans Nokia 7 Plus telefon, og havde opdaget at telefonen ofte tog kontakt til en server og sendte en datapakke til den.

Han registrerede at hver gang telefonen startede, skærmen blev aktiveret eller låst op, der sendte telefonen oplysninger til en server i Kina.

Oplysningerne indeholdt telefonens geografiske position, SIM-kortnummer, telefonens serienummer, IMEI-nummer og MacID.

Med disse data er det muligt at følge en telefons bevægelse i real-time.

Serveren der modtog de data sidder på domænet vnet.cn. Et domæne der er registreret af CNNIC (China Internet Network Information Center), dem der styrer .cn toplevel domænet for Kina. NRK kontaktede CNNIC der oplyste at serveren tilhørte det statsejede teleselskab China Telecom.

 

Kan være en kinesisk registrering

NRK fandt derefter frem til en kode fra 2014 på hjemmesiden GitHub, der viser hvordan elektronikproducenten Qualcomms registrerer udstyr via samme domæne overfor China Telecom.

Det er derfor muligt at den telefon Henrik Austad anvendte i Norge oprindelig var tiltænkt det kinesiske marked.

HMD Global, der producerer og markedsfører Nokia smartphones og tablets. Da NRK konfronterede dem med hvad de havde fundet frem til, der indrømmede de at et ukendt antal Nokia 7 Plus-telefoner har sendt disse oplysninger til Kina. En fejl der blev rettet i en softwareopdatering i slutningen af februar i år.

 

Personfølsomme oplysninger

NRKbeta har hentet en vurdering af, om de data som Nokia-telefonerne har sendt til Kina, er personoplysninger. Det bekræfter Atle Årnes, der er fagdirektør for teknologi i norske Datatilsynet.

“Hvis du kontakter en server, betyder det under alle omstændigheder, at der gives personlige oplysninger. Som minimum IP-adresse. De øvrige oplysninger, som f.eks. SIM-kortnummer, basestation og telefonnummer, betragtes også som personlige oplysninger”, fortæller Atle Årnes.

Torgeir Waterhouse, direktør i brancheforeningen IKT-Norge, kalder det “dramatisk” da NRK forelægger oplysningerne.

“Dette er dramatisk. Der er ingen tvivl om, at dette er data, der kan identificere og overvåge enkeltpersoner”.

Han forstår ikke hvordan sådan en fejl har kunnet være tilstede sålænge uden at mobilproducentet er blevet bekendt med det, og stiller derfor spørgsmålstegn ved om HMD Global har styr på sikkerheden overfor sine Nokia-brugere.

 

Det finske datatilsyn har taget sagen op

Efter at sagen er kommet frem der er Ombudsmanden for det finske datatilsyn valgt at indlede en efterforskning.

Nokia 7 Plus kom på markedet i foråret 2018.

 

Uttalelse fra HMD Global til NRK

Vi har analysert saken, og kan bekrefte at det har skjedd en feil i pakkeprosessen av programvare i en enkel batch av en telefonmodell, som ved en feil forsøkte å sende aktiveringsdata til en utenlandsk server. Dataene ble aldri behandlet, og ingen personopplysninger ble delt med tredjeparter eller myndigheter.

Dette har nå blitt fikset, og nesten alle enheter som var påvirket av denne feilen har nå installert oppdateringen. HMD Global tar sikkerheten og personvernet til våre kunder alvorlig.

Videre vil vi påpeke at hvorvidt informasjon er personopplysninger, handler om kontekst og hvilke andre typer data som er tilgjengelig. Dette har blitt avgjort i saken Breyer vs. Tyskland, og har blitt bekreftet av tilsynsmyndigheter flere ganger.

Vi diskuterer gjerne saken med relevante finske myndigheter, og også det norske datatilsynet om de er interessert.

Kilde: NRKbeta

 

Annonce