Följande fråga är ställd av många läsare, men jag generaliserar ned det till ett enda brev för att svara så många som möljligt på en gång. Detta ärende var något som många upprördes av och jag har därför skjutit upp med att svara på läsarfrågan tills alla fått säga sitt.
”Hej ITPiraten. Jag satt och läste din ”guide” hur man utnyttjar Anovos system för att komma över känslig information. Tycker du att det är rätt att gå ut med en sådan ”guide” och öppna upp för vem som helst att utnyttja ett sådant system? Själv tycker jag det är lite oansvarigt och kriminellt att göra det du gjorde!” – Flera läsare
Hej alla.
Visst kan det tyckas att det är oansvarigt, men kriminellt är det ju faktiskt inte. Guiden är borttagen sedan Anovo uppmärksammat problemet och åtgärdat detta. Orsaken till att guiden existerade var att Anovo vägrade att svara på mina brev ( i vanlig ordning) och inte före jag uppmärksammade dom via min guide hände det något.
Eftersom detta säkerhetsproblem kunde utnyttjas med stort mörkertal så var det av stor vikt att det uppmärksammades. Genom att göra min guide för hur man utnyttjar informationen så kanske Anovo tog det på allvar och inte trodde att jag var någon knäppis som ”trodde han visste något”.
Allt material i guiden var publik information. Ingenting ”hackades” eller bröts in på för att få rätt på informationen. Vilket gör att den inte kan kallas en ”hacking guide”, vilket är något som många läsare benämnt den som.
Förhoppningsvis så sover vi lite tryggare nu när vi vet att våra inlämnade telefoner inte är lika osäkra.
För dom som missade guiden (vilken nu är borttagen från ITPiraten.se) så kan jag nämna lite av den information du kunde få rätt på via deras system.
1. Namn och personnummer (exkl. 4 sista siffrorna)
2. IMEI nummer
3. Adress
4. Telefonnummer
5. Leverantör (Telia/Comviq osv.)
6. Inköpsdatum
7. Serienummer
8. Tillverkare, modellbeteckning och färg
9. Var enheten skickades från när den kom in på service
10. Var enheten skickas till när den är klar
Plus lite mer information som du säkert inte vill att någon ska få rätt på. Som ni kanske redan har gissat så går det att använda ovanstående information till väldigt mycket (dåliga) saker.
Min fingerade person i guiden kallades för ”Kalle”. Som ett konkret exempel så kan jag säga att genom Anovos eget system, utan att ”hacka” något, så kunde vi få rätt på att:
Kalle Karlsson, som är 24 år gammal och fyller år den 24 december, äger en mobiltelefon med telefonnummer xxx och IMEI nummer xxx. Han har Telia som leverantör och köpte sin telefon 2011-xx-xx. Telefonen är en iPhone 4S och har serienummer xxx samt är vit i färgen. Kalle bor i Luleå på xxx gatan nummer xxx i lägenhet xxx.
Genom att utnyttja denna information så kan vi ringa upp Telia och begära att byta abonnemang till det dyraste alternativet. Kanske lägga upp lite extra tjänster som vi anser Kalle behöver. Telia kommer inte att fråga efter personnummer och om dom gör det så skippar vi dom 4 sista siffrorna ”på grund av säkerhetsskäl”. Detta är givetvis bara ett exempel på vad informationen kunde användas till. Man kan använda sin fantasi rätt så flitigt.
Dessutom har den informationen liten eller ingen nytta för dig som är kund till Anovo. Det enda du behöver veta är att din telefon/dator/pryl har kommit fram och vad Anovo tänkt göra med den.
Hoppas detta var svar på alla era frågor, annars går det bra att kommentera/maila.
Ha en bra dag.