Fjar­skipti ehf., móð­ur­fé­lag Voda­fone á Íslandi, braut gegn meg­in­á­kvæðum fjar­skipta­laga um vernd per­sónu­upp­lýs­inga og frið­helgi einka­lífs­ins þegar brot­ist var inn á vef­svæði fyr­ir­tæk­is­ins í nóv­em­ber 2013 og ­gögn­um ­sem vistuð voru á gagna­grunn­um Voda­fone stolið og birt opin­ber­lega á inter­net­inu. Þetta er nið­ur­staða rann­sóknar Póst- og fjar­skipta­stofn­unar á atvik­inu, sem birt var fyrir helg­i. 

Þar segir að Voda­fone hafi ekki við­haft virkt örygg­is­skipu­lag fyrir vef­svæði félags­ins, ekki við­haft við­eig­andi ráð­staf­anir til að tryggja vernd þess og þeirra upp­lýs­inga sem þar voru vistað­ar, ekki við­haft að minnsta kosti árlegt innra eft­ir­lit fyrir vef­svæð­ið, ekki upp­fyllt kröfu um upp­ýst sam­þykki áskrif­enda fyrir vistun gagna á því og ekki eytt eða gert nafn­laus gögn um fjar­skipta­um­ferð áskrif­enda sem nýttu sér almenna fjar­skipta­þjón­ustu félags­ins eftir sex mán­uði, líkt og lög gera ráð fyr­ir. 

Póst- og fjar­skipta­stofnun hrósar hins vegar við­brögð­um Voda­fone á Íslandi eftir að ­upp komst um inn­brot og birt­ingu gagna. Þau hafi verið góð og ­leitað hafi verið allra leiða til að tak­marka það tjón sem hlaust af gagna­stuld­in­um.

Mjög per­sónu­leg skila­boð

Að morgni laug­ar­dags­ins 30. nóv­em­ber 2013 var brot­ist inn á heima­síðu Voda­fone á Íslandi. Slóð þess sem það gerði hefur verið rakin til Ist­an­búl í Tyrk­landi. Hon­um, eða þeim, tókst að kom­ast í gegnum glufur á örygg­is­kerfi Voda­fone, stela gögnum sem sam­tals eru um 300 mega­bæt að stærð. Hann, eða þeir, birtu síðan öll gögnin á net­inu.

Um er að ræða 79 þús­und smá­skila­boð sem send höfðu verið af heima­síðu Voda­fone á síð­ustu þremur árum fyrir inn­brot­ið, mik­ill fjöldi lyk­il­orða við­skipta­vina Voda­fone að not­enda­síðum þeirra hjá fyr­ir­tæk­inu, fjórum kredit­korta­núm­erum og gríð­ar­legu magni upp­lýs­inga um nöfn og kenni­töl­ur til­tek­ina við­skipta­vina. Stuld­ur­inn, og birt­ing gagn­anna, er stór­tæk­asta inn­rás í einka­líf Íslend­inga sem nokkru sinni hefur átt sér stað.

Smá­skila­boðin sem birt­ust voru mörg hver mjög per­sónu­leg. Þau snér­ust mörg um kyn­líf eða aðra inni­lega hluti. Þau gátu því bæði verið við­kvæm og auð­mýkj­andi fyrir þá sem þau sendi eða þá sem tóku á móti þeim. Auk þess var meðal ann­ars í þeim að finna sam­skipti milli þing­manna. Þeir þurftu að útskýra skila­boð sín og sam­hengi þeirra í fjöl­miðlum í fram­hald­inu.

Settar voru upp síður á net­inu þar sem svæsn­ustu skila­boðin voru end­ur­birt. Þær nutu mik­illa vin­sælda. Auk þess gerðu valdir íslenskir fjöl­miðlar mörgum gagn­anna skil. 

Þriggja ára tíma­bil

Skila­boðin voru send á tíma­bil­inu 1. des­em­ber 2010 og fram að inn­brots­degi. Þjóf­ur­inn náði, líkt og áður sagði, 79 þús­und skila­boðum og birti. Alls voru sendendur þeirra um 5.100 tals­ins og um helm­ingur þeirra sendi ein­ungis ein skila­boð. Dæmi voru þó um ein­staka sendendur sem sendu þús­undir skila­boða.  

Því var ein­ungis  hlut­falls­lega lít­ill hluti við­skipta­vina sem Voda­fone var með á tíma­bil­inu, en þeir voru um 100 þús­und, fyrir beinum skaða.

Sam­kvæmt fjar­skipta­lögum má ein­ungis geyma gögn fjar­skipta­fyr­ir­tækja í sex mán­uði. Ljóst er að Voda­fone braut gegn þeim lög­um, enda hluti þeirra skila­boða sem stolið var mun eldri en það. Rann­sókn Póst- og fjar­skipta­stofn­unar stað­festir það. Fyr­ir­tækið skýrði mis­tökin með þeim hætti að við­skipta­vinum hefði verið boðið að geyma send sms-skila­boð á heima­síðu Voda­fone. Til að skila­boðin yrðu ekki geymd þurfti að taka til­tekið hak, sem sagði „Vista í sam­skipta­sög­u“, af. Með því þurftu við­skipta­vin­irnir sjálfir að sýna frum­kvæði að því að koma mál­unum þannig fyrir að skila­boð­unum yrði eytt í sam­ræmi við lög.