Fjarskipti ehf., móðurfélag Vodafone á Íslandi, braut gegn meginákvæðum fjarskiptalaga um vernd persónuupplýsinga og friðhelgi einkalífsins þegar brotist var inn á vefsvæði fyrirtækisins í nóvember 2013 og gögnum sem vistuð voru á gagnagrunnum Vodafone stolið og birt opinberlega á internetinu. Þetta er niðurstaða rannsóknar Póst- og fjarskiptastofnunar á atvikinu, sem birt var fyrir helgi.
Þar segir að Vodafone hafi ekki viðhaft virkt öryggisskipulag fyrir vefsvæði félagsins, ekki viðhaft viðeigandi ráðstafanir til að tryggja vernd þess og þeirra upplýsinga sem þar voru vistaðar, ekki viðhaft að minnsta kosti árlegt innra eftirlit fyrir vefsvæðið, ekki uppfyllt kröfu um uppýst samþykki áskrifenda fyrir vistun gagna á því og ekki eytt eða gert nafnlaus gögn um fjarskiptaumferð áskrifenda sem nýttu sér almenna fjarskiptaþjónustu félagsins eftir sex mánuði, líkt og lög gera ráð fyrir.
Póst- og fjarskiptastofnun hrósar hins vegar viðbrögðum Vodafone á Íslandi eftir að upp komst um innbrot og birtingu gagna. Þau hafi verið góð og leitað hafi verið allra leiða til að takmarka það tjón sem hlaust af gagnastuldinum.
Mjög persónuleg skilaboð
Að morgni laugardagsins 30. nóvember 2013 var brotist inn á heimasíðu Vodafone á Íslandi. Slóð þess sem það gerði hefur verið rakin til Istanbúl í Tyrklandi. Honum, eða þeim, tókst að komast í gegnum glufur á öryggiskerfi Vodafone, stela gögnum sem samtals eru um 300 megabæt að stærð. Hann, eða þeir, birtu síðan öll gögnin á netinu.
Um er að ræða 79 þúsund smáskilaboð sem send höfðu verið af heimasíðu Vodafone á síðustu þremur árum fyrir innbrotið, mikill fjöldi lykilorða viðskiptavina Vodafone að notendasíðum þeirra hjá fyrirtækinu, fjórum kreditkortanúmerum og gríðarlegu magni upplýsinga um nöfn og kennitölur tiltekina viðskiptavina. Stuldurinn, og birting gagnanna, er stórtækasta innrás í einkalíf Íslendinga sem nokkru sinni hefur átt sér stað.
Smáskilaboðin sem birtust voru mörg hver mjög persónuleg. Þau snérust mörg um kynlíf eða aðra innilega hluti. Þau gátu því bæði verið viðkvæm og auðmýkjandi fyrir þá sem þau sendi eða þá sem tóku á móti þeim. Auk þess var meðal annars í þeim að finna samskipti milli þingmanna. Þeir þurftu að útskýra skilaboð sín og samhengi þeirra í fjölmiðlum í framhaldinu.
Settar voru upp síður á netinu þar sem svæsnustu skilaboðin voru endurbirt. Þær nutu mikilla vinsælda. Auk þess gerðu valdir íslenskir fjölmiðlar mörgum gagnanna skil.
Þriggja ára tímabil
Skilaboðin voru send á tímabilinu 1. desember 2010 og fram að innbrotsdegi. Þjófurinn náði, líkt og áður sagði, 79 þúsund skilaboðum og birti. Alls voru sendendur þeirra um 5.100 talsins og um helmingur þeirra sendi einungis ein skilaboð. Dæmi voru þó um einstaka sendendur sem sendu þúsundir skilaboða.
Því var einungis hlutfallslega lítill hluti viðskiptavina sem Vodafone var með á tímabilinu, en þeir voru um 100 þúsund, fyrir beinum skaða.
Samkvæmt fjarskiptalögum má einungis geyma gögn fjarskiptafyrirtækja í sex mánuði. Ljóst er að Vodafone braut gegn þeim lögum, enda hluti þeirra skilaboða sem stolið var mun eldri en það. Rannsókn Póst- og fjarskiptastofnunar staðfestir það. Fyrirtækið skýrði mistökin með þeim hætti að viðskiptavinum hefði verið boðið að geyma send sms-skilaboð á heimasíðu Vodafone. Til að skilaboðin yrðu ekki geymd þurfti að taka tiltekið hak, sem sagði „Vista í samskiptasögu“, af. Með því þurftu viðskiptavinirnir sjálfir að sýna frumkvæði að því að koma málunum þannig fyrir að skilaboðunum yrði eytt í samræmi við lög.