Et mobilanrop var nok til å spore mange Telia-kunder. Årsaken: En skrivefeil i et viktig IT-system.
Denne feilen skjedde da Telia arbeidet med å tilfredsstille myndighetenes krav til utlevering av kommunikasjonsdata til politiet.
Skrivefeilen gjorde at informasjon om hvor Telia-kunder oppholdt seg ble delt i 2,5 år.
SKRIVELEIF: Her skulle det stått «P-Access-Network-Info», ikke «P-Access-Network-Id».
Foto: Jorunn Hatling / NRKTelia har omtrent 2 millioner mobilkunder i Norge. Selskapet har beklaget til sine kunder og fikset sikkerhetssårbarheten så snart de var klar over den.
Mange var sporbare
Feilen som gjorde Telia-kunder sporbare lå i et viktig IT-system for bedriftskunder.
Dersom man ringte opp en Telia-kunde med bedriftsabonnement, var det mulig å se posisjonen til den man ringte.
NRKs tester viste at også privatkunder av Telia kunne spores dersom de ble oppringt av mobilkunder med bedriftsabonnement.
Det er samtidig slik at ikke alle Telia-kunder kunne spores. Tester viste at enkelte mobiler kun tidvis var sårbare og noen mobiler kunne aldri spores selv om de hadde Telia-abonnement.
Høyre-topp Peter Frølich lot NRK spore ham på vei til jobb. Han kalte det en «vanvittig opplevelse» da han så resultatet av noen få telefonanrop.
SPORET: Stortingstoppen Peter Frølich ble sporet gjennom Oslo.
Foto: Daniil Thorkild Ryvænge / NRKFeilen avdekket hvilken basestasjon en mobil var tilkoblet. Det betyr at man fikk et omtrentlig område mobilen oppholdte seg i, ikke en nøyaktig posisjon.
NRKs tester viste at det typisk var mulig å anslå en mobils posisjon med 100 til 200 meters nøyaktighet i bynære strøk. Utenfor byer står basestasjonene lengre fra hverandre og resultatet ville da blitt langt mindre nøyaktig.
Telia opplyser at de ikke har fått rapporter fra kunder om unormal aktivitet som kan tyde på at sårbarheten har blitt utnyttet av andre.
Ikke nye krav
Telia har ikke ønsket å stille til intervju om saken, men har sendt over en uttalelse basert på NRKs spørsmål.
PÅ ALVOR: – Vi tar sikkerhet på største alvor, og investerer kontinuerlig i mennesker, prosesser og teknologi for å redusere risiko for Telia og våre kunder, skriver Daniel Barhom i Telia.
Foto: Telia Norge– Dessverre skjedde det en feil i konfigurasjonen da vi oppdaterte vår bedriftstjenesteplattform høsten 2023, skriver informasjonssjef Daniel Barhom i Telia.
Selskapet oppfylte myndighetenes krav om kommunikasjonskontroll både før og etter konfigurasjonsendringen, opplyser selskapet.
– Det som er viktig å få frem, er at oppdateringen av tjenesten ikke ble utløst av nye krav fra myndighetene, skriver Barhom.
To tilsyn undersøker Telia
Datatilsynet og Nasjonal kommunikasjonsmyndighet (Nkom) åpnet begge undersøkelser av Telia etter at sikkerhetshullet ble omtalt av NRK.
– Vi vil be om dokumentasjon, innhente fakta, og vi vil nok gjennomføre intervjuer med nøkkelpersoner i ledelsen og på teknisk side, sier sikkerhetsdirektør Svein Sundfør Scheie i Nkom.
TIL BUNNS: – Vi ønsker å komme til bunns i hva som har skjedd, hvorfor det har skjedd, og å sørge for at det ikke kan skje igjen, sier Scheie i Nkom.
Foto: Nkom– Nå er vi helt i startfasen av tilsynet. Vi skal innhente mer fakta og vi skal gjennomføre intervjuene slik at vi kommer til bunns i hva som har skjedd. Den foreløpige oppfatningen vi har, er at dette skjedde i forbindelse med at Telia innførte et nytt bedriftssystem, som skulle tilpasses dette «lawful interception»-regimet.
Strengt kontrollregime
Politiet i Norge har mulighet til å overvåke og spore mobiltelefoner, men terskelen er høy.
– Det gjelder strenge vilkår for at politiet skal kunne skaffe seg tilgang til kommunikasjonsdata. Det kreves som utgangspunktet skjellig grunn til mistanke om en straffbar handling som kan føre til fengsel i fem år eller mer, sier førsteamanuensis Ingvild Bruce ved Politihøgskolen.
For historiske posisjonsdata er vilkårene ikke like strenge, men å følge noens posisjon i sanntid krever lovbrudd som kan føre til fengsel i fem år eller mer, ifølge Bruce.
Hun mener det er alvorlig at informasjon om noens posisjon har blitt lekket.
STRENGT REGIME: På politisiden er det et strengt kontrollregime for å overvåke og spore mobiler, forteller Ingvild Bruce.
Foto: Ola MjaalandPå politisiden har man Kontrollutvalget for kommunikasjonskontroll til å ettergå om bruken av skjulte etterforskningsmetoder er i tråd med lovverket.
– Det gjelder et ganske strengt kontrollregime på politiets bruk og innhenting av denne typen data. Det kan jo virke som at det kontrollregimet som gjelder når feilen skjer hos de private aktørene, altså før dataene kommer til politiet, ikke er like intensivt og at det kanskje bør vurderes om det bør strammes inn, sier Bruce.
NRK har spurt Nkom hvilke kontrollrutiner myndighetene selv har når de ber teleselskaper om å tilpasse sine systemer for politiovervåking:
– Det er tilbyderne som er ansvarlig for forsvarlig sikkerhet i sine systemer. Det er de som har den tekniske kunnskapen og skal gjøre disse tingene på riktig måte.
Sikkerhetsforsker snublet over sikkerhetshull
Sikkerhetshullet ble oppdaget ved en tilfeldighet 20. mars i år. Da hadde det ligget åpent siden høsten 2023.
– Jeg undersøkte hvordan svindlere kunne misbruke telenettet til å sende svindelmeldinger, fortalte sikkerhetsforsker Harrison Sand.
Som et ledd i testingen ringte han opp en av NRKs journalister. Da oppdaget Sand at Telia uoppfordret fortalte ham hvilken basestasjon journalistens mobil var tilkoblet.
Publisert 05.05.2026, kl. 19.16
English (US)