AllTele behåller användaruppgifter

2009-04-27 21:57 | Kategorier » Internet,

AllTele

OBS, läs rättelse /förtydligande!

Uppdaterad: Posten har uppdaterats sedan den först publicerades, uppdateringen är utmärkt nedan.

Efter domen mot The Pirate Bay började operatörer snabbt gå ut med uppgifterna om att de inte tänker lämna ut kunduppgifter, även om kraven sker med IPRED-lagen som grund. AllTele var en av de operatörer som hävdade att de även raderade uppgifterna och därför inte ens kunde lämna ut dem, helt enkelt därför att det inte fanns några uppgifter att lämna ut.

På AllTeles hemsida kan man läsa följande stycke i deras pressmeddelande:

AllTele har beslutat att med omgående verkan ansluta sig till Integrity initiative och därigenom inte spara några kunduppgifter som kan komma att lämnas ut enligt IPRED.

Jag bestämde mig för att maila dem för att få rätsida på saker och ting. Mailet blev ganska rejält långt, men kärnpunkten var följande:

IPRED och liknande frågor har fått mig att vilja ta reda på vilket förhållningssätt ni har till att logga, eller lagra, information som gör att det går att knyta samman mig med det IP-nummer jag använder. Lagrar ni på något sätt information som gör att jag går att identifiera för utomstående part?

Vad är er policy för samarbete med utomstående part vad gäller utlämnande av uppgifter som kan peka ut mig som individ? Vad krävs för att ni skall göra något sådant?

De svarade med följande:

Hej,
Vårt policy för samarbete med utomstående part är AllTele lämnar inte ut några uppgifter baseradt på krav enligt Ipred lagen.

Vi hoppas att detta är utvecklande nog för din del.

Vänligen
AllTele Kundservice

Jag tyckte inte att det var utvecklande nog alls utan bad dem förklara tydligare, det jag då fick var detta:

Hej,

Vi har tagit samma ställning i frågan som Bahnhof. Det gör ingen skillnad att du är ansluten via studentnät. De enda tillfällen då vi lämnar ut IP adresser är vid allvarliga brott som t ex Barnpornografi brott, se nedan distinktion i arbetssättet kring IPRED och den här typen av brott.

Nedan instruktioner har AllTeles ledning gått ut med:

”AllTele har i ledningsgruppen beslutat att följa samma linje som Bahnhof deklarerade under gårdagen och INTE spara och därigenom INTE lämna ut kunduppgifter. Det finns i dag ingen tvingande lag att operatören skall spara dessa uppgifter och vi kommer från o med i dag att radera samtliga DHCP-adressuppgifter ur våra system.

Om någon får fråga från oroliga kunder så skall kunden få besked att:

AllTele lämnar inte ut några kunduppgifter enligt IPRED då vi inte sparar på dessa!

Detta gäller tills lagstiftaren fattar annat beslut.

Det finns en viktig distinktion i sättet som förundersökning av t ex barnpornografibrott bedrivs och den som IPRED står för.
AllTele har löpande samarbete med polis och åklagare (och SÄPO) i förundersökningar som berör t.ex. Barnpornografi men även andra typer av grov brottslighet. I samtliga dessa så är man från myndigheterna mycket noga med att påpeka att IP-numret helt saknar bevisvärde men utgör ett spår bland andra. Dessutom rör det sig alltid om pågående brottslighet och AllTeles insats startar från den dag assistans begärs av polis eller åklagare. Det kan röra sig om telefonavlyssning eller nätspaning. Historiska data är aldrig aktuellt i dessa utredningar.

IPRED tar tvärtemot utgångspunkt från just IP-adressen och då alltid baserat på historiska data.
AllTele raderar all information om IP-adresserna enligt Lagen om Elektronisk Kommunikation som extremt tydligt anger:
6 kap. Integritetsskydd Behandling av trafikuppgifter 5 § Trafikuppgifter som avser användare som är fysiska personer eller avser abonnenter och som lagras eller behandlas på annat sätt av den som bedriver verksamhet som är anmälningspliktigenligt 2 kap. 1 §, skall utplånas eller avidentifieras när de inte längre behövs för att överföra ett elektroniskt meddelande, om de inte får sparas för sådan behandling som anges i 6 eller 13 §.

Hoppas du fått svar på dina frågor, det finns tyvärr ingen särskild person här som tar han om just den här typen av frågor. Det är vår ledning som tagit beslutet i frågan.

Vänligen
AllTele kundservice

Här kan man alltså läsa att de inte sparar på kunduppgifter, något som kundtjänsten också uppenbarligen ombeds att tala om för oroliga kunder. Vidare nämns också att de däremot kan koppla in åtgärder när det rör sig om pågående brottslighet.

AllTele hade här svarat betydligt fylligare, men det fanns ett litet aber…

Hej igen,
det här svaret var betydligt mer uttömmande, även om det i min mening finns en del som är en aning mer luddigt än vad jag känner mig bekväm med, skulle vara tacksam över att få det utrett.

Det står ”(…) vi kommer från o med i dag att radera samtliga DHCP-adressuppgifter ur våra system”. Vad jag vet rör DHCP _dynamisk_ tilldelning av IP-adresser. Enligt de uppgifter jag (och alla andra i krokarna där jag bor) har fått när jag skaffade abonnemanget så skall jag sätta ett fast IP i min dator/router. Med andra ord så används alltså _inte_ DHCP och ert ställningstagande innebär alltså inte ett skit för mig (eller någon av alla andra som har fått fast IP).

Med andra ord: Hur hjälper ert ställningstagande mig? Vad skall jag göra för att kunna säkerställa att även mina uppgifter rensas från erat system när de inte behövs för att föra över ett meddelande? Hur skall jag få dynamiskt IP (eftersom det krävs för att dra nytta av ert ”skydd”)?

Går detta verkligen inte att ta via vanlig mail?

/Kristoffer

Visst, jag var lite irriterad (därav ”innebär alltså inte ett skit”), men när en internetleverantör kommer med information som säger emot sig själv så är det illa.

AllTele svarade efter ett tag med:

Hej,

AllTele lämnar inte ut några kunduppgifter baserat på IP-adress. Det spelar ingen roll om man har DHCP eller statisk IP-adress.

Mvh
AllTele

Här skriver de inget om huruvida kunduppgifterna sparas eller ej, endast att de inte lämnas ut. Jag bestämde mig därför att starta ett nytt supportärende…

Hej,
min router hemma har lägligt nog bestämt sig för att radera samtliga inställningar, däribland det fasta IP jag blivit tilldelat när jag startade mitt abonnemang hos er. Uppkopplingen är via studentnätet i Linköping, och hur jag än tittar runt på login.utsikt.se så kan jag inte hitta de IP-uppgifterna någonstans.

Hur ska jag få tag på dem igen? Går det att få dem mailade till sig? Skulle behöva det snabbt, eftersom jag måste kunna komma åt Internet.

Vänligen
Kristoffer

AllTele svarar:

Hej! Du har DHCP så jag kan tyvärr inte skicka några uppgifter till dig. Vänligen [namn borttaget] AllTele kundservice

Detta stämmer inte, varför jag åter igen mailar dem.

Hej.
Nej, inte enligt de uppgifter jag fått från er sedan tidigare. DHCP används vid dynamisk tilldelning. När jag anslöt mig fick jag uppgifter om att ange ett fast IP (vilket är det totalt motsatta mot DHCP). Hjälper ett kundnummer?

/Kristoffer

Värt att notera att jag vid det här laget inte gett dem mitt kundnummer, inte heller skickar jag supportärendena från min internetanslutning hemma…

Snabbt kommer följande mail från AllTeles support, det är samma signatur denna gång. Jag har alltså inte gett dem mitt kundnummer.

IP [mitt IP-nummer] Nätmask [min nätmask] Gateway [min gateway] DNS 1 [min primära DNS] DNS 2 [min sekundära DNS]. Vänligen [namn borttaget] AllTele kundservice

De går alltså ut med att de inte sparar uppgifter, något som bevisligen inte stämmer.

Uppdatering: Dessa uppgifter kan vara hämtade ur systemet där de kan se vilket IP jag har för tillfället, något som inte behöver innebära att de sparar data historiskt. Det ändrar dock inte på det faktum att uppgifterna lämnades ut mycket lättvindigt.

De går också ut med att de inte lämnar ut uppgifter, något som bevisligen inte heller det stämmer.

Går AllTele att lita på alls?

Visst, uppgifterna lämnades inte ut baserat på mitt IP-nummer. Men faktum kvarstår, AllTele lämnade ut mina uppgifter till en för dem okänd person som inte ens behövde ange kundnummer och där inte ens e-postadressen stämde överens med den som är registrerad på mig som kund.

Vad gör de då när en organisation med lagen på sin sida knackar på dörren?

Jag har även skrivit om detta på min personliga blogg: AllTele sparar visst användaruppgifter!

Mer läsning:

Några av alla de bloggar som skriver om AllTeles PR-jippo: Allt om IT, The Blackjacker litar på AllTele, Åsiktskanonen nämner i förbigående AllTeles yttrande

Gravatar
|
Fredrik — 2009-04-27 22:11

Bra jobbat!

Gravatar
|
Ohlzon — 2009-04-27 22:14

När du bad om ditt IP, mailade du från en ledande mailadress, eller skrev du under med fullständigt namn?

Förjävligt av dem att inte leva upp till sina löften mer än så…

Gravatar
|
Kristoffer — 2009-04-27 22:49

@Fredrik: Tack!

@Ohlzon: Mailadressen var ju så klart ledande, men AllTele borde ju ha bättre vett än att ta det som något som stärker ens identitet…

Gravatar
|
Bengt Svensson — 2009-04-28 08:16

Ett statisk IP får man när man blir kund och kommer att ha tills abbonnemangsformen upphör. Det är dessutom SAMMA IP-address hela tiden. Det är ju det som är vitsen med statisk IP, att man har en fast referens mot omvärlden om man t.ex driver en server av något slag. Operatören kan radera vilka loggar dom vill men ett statiskt IP är statisk information och om inte detta lagras så skulle man aldrig kunna bygga upp sin nätverksstruktur igen i händelse av en krasch i sitt nät. Vilken kund skulle uppskatta att plötsligt få nån annan kunds statiska IP?

Ok, tänker man då, men informationen kan väl avidentifieras!
Men den trafik som sker JUST NU måste ju ta sig fram till rätt abbonent, alltså MÅSTE informationen finnas JUST NU, någonstans. Och IP:t tillhör samma abbonent som när kontot skapades, vid vilken godtycklig tidpunkt som helst.

Att skylla på att informationen inte lagras vid utdelade statiska addresser, är alltså fullständigt meningslös. Och det gäller alla operatörer.

Gravatar
|
Tele2 knullar Ipredlagen vilket gör mig glad | Jomari.se — 2009-04-28 10:16

[…] pengatvätt eller är iTunes hackat?, Filip&Fredrik…, Bahnhof, Tele 2 – men Telia då?, AllTele behåller användaruppgifter, Skillnad på ö och land!, Tele 2 visar civilkurage, IPRED: Kräv att din internetleverantör […]

Gravatar
|
Mattias — 2009-04-28 14:24

Här har du ett färdigt reportage att sälja till tidningsdrakarna i Stockholm om du vill…

Gravatar
|
Kristoffer — 2009-04-28 14:59

@Bengt: Visst är det så.

Men det är också så att AllTele går ut med påståendet om att de inte sparar på sådan data, vilket de ju faktiskt gör. Och det är denna felaktiga information jag är kritisk mot.

Vad som är ännu värre är att de dessutom lämnar ut sådan information utan någon som helst identitetskontroll.

Anser du att det är okej av AllTele att gå ut med felaktig information? Anser du att det är rätt av AllTele att så lättvindigt lämna ut information? Är inte det ändå ganska illa?

@Mattias: De är välkomna att kontakta mig 😛

Gravatar
|
Anonym — 2009-05-02 08:00

Hej Kristoffer,
Jag arbetar på AllTele. Det du skriver här är ren lögn. Om du önskar så kan jag maila dig det ärende du inkom med som en påminnelse.
1. Du uppgav ditt kundnummer. Ingen annan än du kan ha haft tillgång till dessa uppgifter.
2. Du uppgav även vilket nät du tillhör, Utsikt Linköping. Detta tillsammans med kundnumret ger oss vad vi behöver för att veta att du är den du uppger att du är.
3. Du blandar ihop ”live-information” med lagrad information. Vi KAN se det IP du har JUST NU, men pga att vi förstör loggar på ev ip du hade IGÅR eller längre tillbaka i tiden så saknas bevis på att du hade det ip-numret bakåt i tiden. Med andra ord så KAN inte AllTele ge information som håller som bevisning i en eventuell ipred-utredning.

För att tala klarspråk, du och andra AllTele kunder kan känna er trygga i valet av AllTele som val av integritetsmärkt internet-leverantör.

Gravatar
|
Kristoffer — 2009-05-04 18:32

Anonym: Jag vill börja med att påpeka att det enligt bloggens kommentarsregler krävs namn och giltig e-postadress, något som jag förväntar mig att du kommer att hålla dig till i fortsättningen. Såvida det inte finns en bra anledning till att du måste vara anonym i det här fallet? En giltig e-postadress förväntar jag mig i vilket fall som helst.

  1. Nej. Jag angav inte mitt kundnummer. Jag kan det inte i huvudet och jag hade inte heller några sådana uppgifter tillgängliga när jag skickade in mina ärenden till AllTele.
  2. Ja, jag angav vilket nät jag tillhör. Jag angav dock inget kundnummer (se punkt 1), varför det är en omöjlighet att göra en sådan kontroll.
  3. Det är möjligt att det är ”live-information” som jag fick sänd till mig, något jag också uppdaterat min post med. Jag ber om ursäkt för att jag inte uttryckt detta tydligare i min post. Som det är nu så är jag egentligen mest förbluffad över hur oförsiktigt AllTele handskades med utlämnandet av dessa.

Du får hemskt gärna maila mig ärendena (för det var två ärenden). Eftersom du jobbar på AllTele så har du ju tillgång till den e-postadress jag angav, så det kommer ju inte att vara något problem… Jag ser fram emot ditt mail.

Gravatar
|
AllTele och användaruppgifter - trevligt svar — 2009-05-04 21:16

[…] Min förra post var lite i hätskaste laget och sampostades i stor utsträckning även på min personliga blogg. Där har jag nu postat ett förtydligande / en rättelse. Läs den! Sprid den gärna med! […]

Lämna en kommentar


Regler för kommentarer på Gate 303

Creeper MediaCreeper