nrk.no

Europeisk datatilsyn åpner granskning etter NRKbeta-avsløring

Kategori: Samfunn

OVERVÅKET: Over 75.000 ganger fikk Venntel vite de presise bevegelsene til en av redaksjonens journalister. Her avbildet er hjemmeadressen og en av mobilappene til Sygic. Illustrasjon: Martin Gundersen/Harald K. Jansson/Norge i bilder


Det slovakiske datatilsynet vil undersøke om flyten av personopplysninger fra mobilapper til bakselskaper er lovlig.

NRKbeta avdekket tidligere i desember at Venntel, et selskap med amerikanske myndigheter på kundelisten, hadde informasjon om de presise mobilbevegelsene til en av redaksjonens journalister.

Venntel oppga at de hadde delt informasjonen videre med kunder, men nektet å oppgi nærmere hvem de var og akkurat hva de kunne gjøre med dataene.

Som følge av avsløringen åpner det slovakiske datatilsynet på eget initiativ en etterforskning.

– Informasjonen vi har fått er ny for oss og den virker urovekkende, sier talsperson Lucia Bezáková for det slovakiske datatilsynet til NRKbeta.

Bezáková ønsket ikke å gå nærmere inn på omfanget av etterforskningen, men oppga at den ville være i tråd med den felleseuropeiske personvernreguleringen kalt GDPR.

Det er sannsynlig at etterforskningen vil fokusere på en av apputgiverne som har gitt Venntel tilgang til europeiske brukerdata via en rekke mellomselskaper. I GDPR er hovedregelen at selskaper etterforskes av tilsyn i landene de har sitt hovedkontor.

Den slovakiske apputgiveren Sygic har en portefølje på 70 apper og oppgir å ha mer enn 200 millioner brukere på sine nettsider. NRKbeta har kontaktet Sygic og Venntel for en kommentar, men de har så langt ikke besvart vår henvendelse.

Kompliserte samarbeid

For å avdekke hvem som overvåker nordmenns bevegelser gjennomførte NRKbeta et omfattende eksperiment. Det gikk ut på at vi installerte mange apper som ba om tilgang til stedsdata. Typisk er det snakk om apper for vær, navigasjon, og spill.

Hovedregelen var at appene ba om samtykke til å behandle og dele personopplysninger for formål som analyse og markedsføring, men ingen av appene NRKbeta undersøkte oppga å dele data med Venntel.

For å få innsikt i flyten av personopplysninger ba vi om innsyn i personopplysningene bak-selskapene satt på.

Arbeidet avdekket at personlig informasjon ble spredt fra mobilapper via en rekke mellomselskaper.

Illustrasjon: Martin Gundersen

– Det er sjokkerende å høre hvordan sensitiv personinformasjon havner på avveie og kan brukes til helt andre formål enn det man har samtykket til, sa stortingsrepresentant Solveig Schytz (V) til NRKbeta, om funnene.

Kritisk til europeiske datatilsyn

– GDPR gir datatilsynene mye makt, og vi mener det er på tide at de kommer seg ut av komfortsonen og benytter seg mer aggressivt at verktøyene de har, sier David Martin, som leder den digitale rettighetsgruppen i BEUC, en sammenslutning av europeiske forbrukerorganisasjoner.

Han er kritisk til at de europeiske datatilsynene ikke har gjort mer for å håndheve GDPR, spesielt i tilfeller det er har vært dokumentert det de mener er åpenbare brudd på europeiske personvernlover.

Seksjonssjef i det norske datatilsynet, Tobias Judin, ønsker kritikken velkommen. Han forteller at GDPR har gitt europeiske datatilsyn gode verktøy, men at det ofte er krevende å føre en sak.

– Om vi skulle tatt tak i alle vi mistenkte brøt disse reglene måtte Europas datatilsyn vært mye større, sier Judin, som understreker at det er svært krevende å bevise eventuelle brudd på GDPR.

GJENNOMGÅENDE MØNSTER: – Avsløringene avdekker nok en gang at det finnes aktører som enten ikke klarer å ha kontroll over dataene sine eller som ikke vil respektere reglene, sier Tobias Judin i Datatilsynet.

I Norge har Datatilsynet prioritert å følge opp flere amerikanske selskaper etter Forbrukerrådets rapport «Out of Control». Rapporten dokumenterte at mobilapper delte enorme mengde personopplysninger til samarbeidspartnere.

Det arbeidet har ikke vært enkelt, innrømmer Judin.

– Typisk er europeiske virksomheter mer samarbeidsvillige. Vi ser ofte at amerikanske virksomheter gjør alt de kan for å trekke ut en sak, sier Judin.

– I en av sakene stilte vi et veldig enkelt spørsmål: «I hvilke land er dere etablert?» Selskapet svarte: «Det har dere ikke noe med.»

Det førte til at spørsmålet ble tatt opp i Personvernnemnda. Klageinstansen ga Datatilsynet medhold i at de kunne kreve svar. I denne omveien forsinket prosessen med flere måneder, oppgir Judin.

Vil du vite mer om personvern?

Få en epost når vi publiserer det fyldige nyhetsbrevet vårt.

Etterforskes i USA

Wall Street Journal omtalte i februar at Venntel hadde solgt tilgang til presise mobilbevegelser til amerikanske immigrasjonsmyndigheter (ICE).

Siden har det kommer det kommet stadig ny informasjon om selskapet og deres forretningspraksis, noe førte til at amerikanske lovgivere opprettet en etterforskning mot selskapet og myndighetenes kjøp av data.

Det er ikke kjent om amerikanske myndigheter har fått tilgang til informasjon om personer som oppholder seg i Europa. Venntel nektet for å ha delt bevegelsene til NRKbetas journalist med ICE. Venntel hevdet også at de ikke hadde noe samarbeid med apputgiveren Sygic.

I går ble det også kjent at Apple og Google har varslet apputviklere om at de må avslutte samarbeidet med dataforhandleren X-Mode. X-Mode samler også data for populære apper. Ifølge Vice Motherboard har selskapet samarbeid med selskaper i forsvarssektoren.

Apple og Google har også gjort noen tiltak de siste årene for å gjøre det vanskeligere for apper å spore bevegelsene til mobileierne. Les NRKbetas guide til å spores mindre for råd om hvordan du kan gjøre det på din mobil.

LES SAKEN
Telefonen spionerte på meg. Slik fant jeg overvåkerne


28 kommentarer

  1. Alexander Lillevik

    Jeg setter enorm pris på det arbeidet NRK Beta gjør for å avdekke brudd på nordmenns personvern, og opplæringsarbeidet dere gjør. Jeg skulle ønske at folk flest forstod viktigheten og brydde seg mer om dette.

    Svar på denne kommentaren

    • Slutter meg til kommentaren fra Alexander Lillevik. Det arbeidet som ble presentert i vår var imponerende grundig, og det er flott at det nå følges opp, slik at det blir holdt varmt i offentligheten.

      Det er jo tydelig at arbeidet blir lagt merke til også i utlandet. Det jeg håper på, er at det i mye sterkere grad kommer ut til «mannen i gata» i Norge! Alt for mange (dvs. så å si alle) venner og kjente som jeg nevner disse sakene for har ikke oppdaget dem. Når jeg gir dem direkte linker til artiklene, er det unisont: Dette burde alle vite om.

      Så fortsett det gode arbeidet! Og se om det er større muligheter for å få det ut til folk flest. Vi må medgi at folk flest ikke leser NRKbeta regelmessig 🙂

  2. Dette arbeidet er utrolig viktig for fremtiden! Viktigere en folk aner.
    Fantastisk av NRK å åpne øynene til resten av verden. Fortsett å holde dette temaet i fokus! Det er viktig for min og mine barn sin fremtid.

    Svar på denne kommentaren

    • Og vi ser fram til IPv6 med adresser nok til alle, slik at det ikke blir noe behov for å få «utlånt» en adresse fra ISPen!

      Det vil riktignok være så mange adresser tilgjengelig at du kan be om å få tildelt en hel serie, så du kan rotere mellom dem. Men de vil skifte bare i de laveste bitene, det er ditt eget ansvar å skifte og hele serien vil tilhøre deg – ISPen vil aldri tildele dem til noen andre.

      I teorien kunne en ISP rotere IPv6-adresser mellom brukere, men det er ingen grunn til det. Årsaken til at det gjøres i IPv4 er at det ikke er nok IPv4-adresser til alle. DHCP er en ren nødløsning for å kunne tilby internett til flere, og er helt unødvendig med IPv6. Før det ble «trangt» på IPv4 hadde alle faste IP-adresser.

      Det finnes riktignok en IPv6 versjon av DHCP, men den dekker først og fremst behovet for bakover-kompatibilitet – det originale behovet som skapte DHCP er fullstndig borte i IPv6.

    • Dette har ingenting for seg, de fleste sitter bak NAT og har derfor en intern adresse per enhet på nettverket og en ekstern som er delt med verden (router/modemets adresse), ikke alle har en dynamisk ekstern adresse heller.

      Dette dreier seg i hovedsak om applikasjoner som sender data via din telefon, dersom du har slike applikasjoner på telefonen eller pc for den saksskyld så er eneste praktiske løsning å fjerne applikasjonen.

      Dog skal det sies at både Google, Microsoft og Apple samler også inn informasjon «telemetri». Slik at man blir ikke «trygg» før løsninger med åpen skjematikk og kildekode som kan evalueres av allmenheten blir tilgjengelig i markedet, eksempler i dag er Linux distribusjoner, Librem, Pine men dette er fremdeles ikke å finne hos utsalgssteder. Det er fremdeles viktig at man passer på hva man installerer og hvordan nan bruker utstyret, huske å slå av lokasjon/GPS og blåtann når dette ikke er i bruk o.s.v.

      Og til de som sier; Jeg har ikke noe å skjule.. Neivel la meg lese alle meldingene dine…

    • NAT er en IPv4-artikfakt, helt unødvendig med IPv6. Vi kan opprettholde den av (misforståtte) bakover-kompatibilitets-hensyn, eller fordi vi tror NAT gir noen slags form for «personvern» (det er like misforstått!).

      Hvis du mener NAT har noen verdi for personvernet ditt: Hvorfor ikke sette opp en tilsvarende mapping-tjeneste for f.eks. Facebook- eller Twitter-IDer, der din «eksterne» ID den ene dagen er «Bruker 98362» og den neste dagen «Bruker 12230» – dynamisk tildelt, akkurat som IP-adresser. Det ville gjøre deg adskillig mer anonym enn om du veksler IP-adresser. For sporing av din din person spiller IPv4-adressen ganske ubetydelig rolle.

    • Keal; Min respons er til følgende. under hvilken omstendighet nevner jeg at NAT/ip-adresser skulle ha noen personvernfremmende funksjoner??

      Husk å bytte IP-adresse hver dag!
      C:// ipconfig_release(enter)
      24+(timer)
      C:// ipconfig_renew(enter)
      omtrent som å bytte telefonnummer hver gang du
      pusser tenner 🙂

  3. Henning Aasheim

    Flott at NRK Beta fokuserer på dette. Dere setter lys på personvern og innstillinger i apper og på telefonen, det er bra, men kan/bør dere også se på de kroniske lekasjene fra systemene i IOS og Android?

    Svar på denne kommentaren

    • Martin Gundersen (NRK) (svar til Henning Aasheim)

      Vi ha ikke gått for dypt inn på selve operativsystemene fordi det er et stort felt å sette seg inn i. Mulig at dette er neste steg.

    • Det er mye telemetri, eller jeg bør si «telemetri» som sendes ut fra OS’ene. Eneste som føles praktisk og trygt i dag er disse Linux, BSD variantene. Utforsk også Librem fra Purism og Pine64 dette er utstyr som bør finnes tilgjengelig på utsalgsteder og bli den største selvfølge i dagens markeder. Google vet jeg tilbyr api’er som også nyttegjøres av IOT enheter for innsamling av brukerdata slik som Sonos f.eks. Nettlesere er også et kapittel, jeg bruker Firefox fordi det er åpen kilde, de henter inn data dersom man tillater det, men de er såpass åpne om det og bruken av dette, jeg opplever at jeg kan stole på dem.

      Hva tenker dere om Apple og kampen deres mot «right to repair»? Louis Rossman har mye ang. dette. Det var og en rettsak i Norge hvor Apple saksøkte et firma som reparerte IPhone, han hadde angivelig benyttet falsk maskinvare. Louis Rossman var vitne i denne saken. Det fremkom etterhvert at personen hadde benyttet falsk maskinvare (vare som er uekte og med apple logo, dette er lov i Kina) dette var litt trist men personen hadde handlet i god tro og betalt pris for ombrukte orginale iphone komponenter. Slik at burde gått fri på dette grunnlag, da han neppe hadde anledning til å selv finne ut hva han faktisk mottok fra leverandør. Men det er en real trussel at apple nekter rett til å reparere og jeg snakker ikke om at de gjør det vanskelig rent teknologisk, men at de f.eks digitalt signerer alle enhetene i telefonen som en komplett enhet, slik at om en komponent erstattes så brytes signeringen og telefonen forblir ubrukelig.

      Mye å ta tak i…

    • «Eneste som føles praktisk og trygt i dag er disse Linux, BSD variantene.»

      Denne enorme tiltroen til at man er sikker bare man bruker en Linux-variant kommer til å bite deg bak, for å si det sånn.

      Bare for å minne deg på det: Android er ikke noen Windows-variant. Gjør det deg trygg mot at apper overvåker deg?

      Og i samme farten: BSD er heller ingen Linux-distro.

    • Keal, jeg kommer ikke til å være i stand til å ta deg seriøst etter disse utsagn.

      Det er med største selvfølge at programvare som er blitt gjennomgått av millioner av mennesker inkludert sikkerhetsspesialister er tryggere enn programvare som er lukket og ikke får blitt ettergått i sømmene.

      Jeg har ikke hevdet at BSD har noe med Linux å gjøre.

  4. Gundersen og resten av nrk:
    hvorfor tar dere ikke for dere NORSKE aktører som driver med akkurat samme type innsamling? sender dataene til usa om europeiske borgere for å ikke havne i klammeri med europeiske personvern lovgivning.

    fremstår som kameraderi hele greia!

    Svar på denne kommentaren

    • «Kameraderi» i denne sammenhengen er på grensen til å spre konspirasjons-teorier. NRKbeta behandler problemet generelt, uten å gå spesielt inn på om aktørene er norske eller utenlandske.

      Jeg har ikke sett noen indikasjoner på at norske aktører blir «beskyttet» eller utelukket på annen måte. Har du sett noe slikt, snakk ut!

      Jeg skulle gjerne sett at noen (NRKbeta eller andre) laget en database, tilgjengelig gjennom en webside, over apper og hva de ønsker seg av «irrelevante» rettigheter, særlig tilgang til posisjons-info (GPS), Bluetooth osv. som burde være helt verdiløst for appen. (Hva skal en sminke-app med GPS-informasjon??) I en slik database måtte det være mulig å legge inn informasjon når det blir avslørt f.eks. at en app sender data «hjem» til noen som selger informasjonen videre.

      Jeg har en mistanke om at en del av denne trafikken er realativt naivistisk, ikke kryptert, og kan plukkes opp av en MITM IP-sniffer, om man lar datatrafikk gå over WiFi. Selv om appen har sin egen måte å pakke data på, er mange hackere (i positiv betydning) svært dyktige til å plukke fra hverandre ukjente dataformater så de kan ihvertfall si noe om hva som formidles.

      Jeg har aldri programmert mobiler, og kjenner ikke mulighetene der, men mistenker at det er fullt mulig å enten gå inn i en eksisterende TCP/IP-stakk, eller sette inn et alternativ, med mulighet for å gå inn i TCP over TLS-nivå for å sniffe TCP-trafikk før kryptering. Det er ikke snakk om å sniffe andres mobiler, men den du selv bruker for å sniffe trafikken: Det er «dine» data, som du i prinsipp har tilgang til på din mobil, og vil titte på før du sender dem ut. Det er ikke noe sikkerhetshull 🙂

      For lyd-telefon (sic!) har vi lenge hatt nettsteder som telefonterror.no til å gi info om plagsomme telefonnumre. Det er noe lignende det jeg ønsker meg for apper – en karakter for «hvor spionerende» de er. Og da naturligvis både for norske og utenlandske apper.

    • Martin Gundersen (NRK) (svar til Thomas)

      Hei! Vi følger sporene der de tar oss. Vi har i andre sammenhenger omtalt negative nyheter for norske selskaper.

  5. Dette må være det viktigste journalistiske arbeidet NRK har gjort, er det slik aktivitet lisenspengene går til så betaler jeg med glede. Grundige og gode artikler, virkelig intressant å følge med på.

    Svar på denne kommentaren

  6. Det er trist å lese at slikt me veit om i ti år fortsatt er ei nyheitssak. Det er bra at NRK avdekker misbruk, og det er bra at me har GDPR. Men rettslig oppfylging må gå raskere og faktisk bite. Eg undrar fortsatt over at andre kan dele mitt mobilnummer og epost med WhatsApp utan mitt samtykke og utan at eg kan håndheve dette.

    Svar på denne kommentaren

  7. Kjempe bra artikkel. Jeg håper dere også kan komme til bunns i og belyse eksakt hvilke apper som deler våre posisjoner på denne frekke måten. Kan gjerne assistere med teknisk kompetanse og testing. Fint om dere går enda mer detaljert inn på protokoller og servere som brukes, slik at disse kan bannlyses for all fremtid..

    Svar på denne kommentaren

    • Martin Gundersen (NRK) (svar til FS)

      Hei! Jeg unnlot å gå den «tekniske ruten» fordi et er såpass mye data som forlater mobilene våre. I rapporten out of control brukte Forbrukerrådet Mnemonic til analysene. Det er en stor jobb å bare undersøke ti apper.

      Jeg er veldig åpen for innspill på hvordan det kan gjøre. Se bio for kontaktdetaljer

    • Rahmi (svar til FS)

      Det jeg gjorde selv var at jeg satte opp et filter som detekterte trafikk til gatewayen min og som kom fra Android enhetene, slik kan jeg se hvilken trafikk som går ut av telefonen.. Det er fort mye informasjon man kan trekke ut med wireshark, men som Martin nevner så er det mye informasjon bare for 10 apper, pluss det som kommer fra Android og OE Leverandørene, f.eks Bixby o.s.v og disse skjulte facebook servicene som telefoner kommer installert med………….. adb er din venn.

  8. Amerikanerne overvåker alt og alle. De er livredde for kinesiske telefoner som gjør det vanskeligere (ie Huawei). Et respektløst folkeslag som elsker krig, våpen, makt, tortur,overvåkning, «false flag» og andre lands ressurser. Hvis de var en egen rase – ville jeg øyeblikkelig blitt rasist!

    Svar på denne kommentaren

  9. Veldig bra dette, men vet ikke helt hva man skal tro om Nrkbeta når ene saken er avslørende, og andre nærmest ren propaganda.

    Det er som om man jobber seg opp et rykte som autoritet og sannhetssøker rundt personvern på teknologi og media for så å bruke det opp på politiske saker med billigste triks som McCarthyisme, konspirasjonsteorier og alt hva det er.

    Svar på denne kommentaren

    • Martin Gundersen (NRK) (svar til Marius)

      Hei! Jeg er ikke sikker på hvilken artikkel du kaller propaganda. Jeg etterstreber å beskrive hendelser og aktører så korrekt som mulig. Om du har konkrete eksempler er det lettere å svare deg.

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *. Les vår personvernserklæring for informasjon om hvilke data vi lagrer om deg som kommenterer.