Det lär ha blivit några meddelanden i supportsystemet från mig den här svängen ja, men vad jag minns så har jag bara ringt en gång för att reda ut några frågor jag hade. Det var i lördags om jag inte minns galet. Måste även passa på och säga att det vore kalas ifall supportsystemet på något sätt kunde förbättras, som det är nu upplever jag det lite rörigt att behöva hoppa mellan inkorgen och att svara via ett formulär på er sida (det gör att man själv lätt tappar tråden med).

Jag får be lite om ursäkt för att jag lade fokus på det eventuella sparandet av uppgifter (samt var på tok för luddig kring det) istället för att fokusera på det faktum att jag så lätt fick ut dem från er, för det var ärligt talat det som upprörde mig mest.

Jag vill även påpeka att jag inte har ett dynamiskt IP, när jag tecknade upp mig för er tjänst så fick jag ett meddelande innehållande uppgifter som jag skulle ange i inställningarna för min anslutning. Jag måste ifrågasätta det du skriver angående att all information som knyter IP-adress mot en specifik kund, i så fall hade det ju varit omöjligt för mig att få ut uppgifterna.

Faktum är ju trots allt att jag kontaktade er kundservice. Jag angav där mitt namn och personnummer, jag angav även vilket nät jag var uppkopplad via. Det var allt som krävdes för att jag skulle få mina aktuella IP-uppgifter mailade till den e-postadress jag angav.

Det tyder ju ändå på att någon koppling fanns.

Det är så klart jättebra att ni jobbar hårt för att bevara era kunders integritet så långt det är möjligt. Men i det här fallet var det ändå något som brast, det ska verkligen inte vara så lätt att få ut kunduppgifter. Eller hur?

Vad gäller möjligheten att använda FRA-/SÄPO-uppgifter för spårning så kan man ju hoppas att det kommer att fortsätta vara så, dessvärre så lobbas det ju hårt för att få fram liknande möjligheter i samband med trafikdatalagringen. Jag har en känsla av att vi har samma åsikter kring dessa frågor.

Jag har ingen som helst intention att radera din ”enkla” kommentar, det är en självklarhet att ett företag skall få bemöta kritik. Du gör det dessutom på ett mycket trevligt sätt, vilket verkligen uppskattas! Jag tycker att det är suveränt att du tog dig tid att lämna kommentaren och det gör faktiskt att jag får en helt ny syn på er som företag.

Jag skall se över hur jag kan uppdatera posten så att den på ett mer korrekt sätt återspeglar vad det var jag upprördes över.

Ser fram emot eventuell vidare kontakt, du kan kontakta mig här, via mail eller till och med telefon ifall det känns mer naturligt.

Vänligen
Kristoffer

Eftersom du tydligen har god kännedom om IPRED och dess tillämpning så vet du säkert också att myndigheten knappast arbetar på det sättet utan knackar på med ett domstolsbeslut i handen helt öppet och varken äger rätt att kräva eller följdaktligen få tillgång till uppgifter som inte finns lagrade i våra system med anvisning om enskild kunds uppgifter.

IP-nummer över DHCP innebär i sak att vi vid tilldelning tar dessa ur en mycket stor ”låda” och givetvis helt slumpvis. IP-numret används därefter i våra system under den mycket korta tidsrymd som åtgår för att ”kroka” upp detta mot den aktuella kundens MAC-adress oberoende av utrustning. Därefter raderas all information som knyter IP-adressen mot specifik kund automatiskt.
Om kunden byter utrustning eller har ett supportärende och har ”slarvat” bort sina uppgifter av annat skäl så tilldelas kunden en ny adress under samtalets gång eller helt automatiskt via nätet förutsatt att kunden har kunskaper nog att ansluta på rätt sätt att ”tillåta DHCP”. Oavsett metod så raderas samtliga sådana uppgifter omedelbart efter supportsamtalets avslutande eller när din ”maskin” fått vad den behöver automatiskt.

Detta vet och känner samtliga anställda inom AllTele till väldigt väl och lever efter. Jag hoppas att du både förstår och uppskttar att den personal om ca 27 personer som inom AllTele arbetar med denna typ av uppgifter knappast tillhör IPRED-kramarna heller i sin privata sfär.

Från AllTeles sida kan vi givetvis inte göra mer än vad som står i vår makt för att försöka bevara våra kunders integritet intill det möjligas gräns.
Däremot så ska vi alla vara glada för att IPRED inte omfattar varken rätt eller möjligheter för Antipiratbyrån eller andra intressenter att nyttja SÄPOS eller FRAs möjligheter till spårning och slutledning, med vår erfarenhet av dessa myndigheters metoder när det gäller mycket grov brottslighet och jag vill då understryka MYCKET grov, så är IP-nummerhanteringen och IPRED en lek i en mycket stor ankdamm.

Totalt säker kan man slutligen aldrig dessvärre vara om man tassar omkring i gråzonen, men tillsammans kan vi i alla fall försöka förhindra IPREDs exempellösa försök till brott mot grundläggande krav och rättighet till en privat frizon och ohotad integritet på nätet.

På samma sätt som du givetvis kan radera detta enkla inlägg från din blogg och också utan risk fortsatt påstå att AllTele ljuger, vill jag till slut citera det gamla och nu lite slitna citatet (lite felaktigt tillskrivet Voltaire) ”Jag delar inte dina åsikter, men är beredd att dö för din rätt att uttrycka dom”

Vi hörs

Ola Norberg/vd

Dessutom så hänger jag upp mig lite på att de handskas med mina uppgifter som att det vore gårdagens kex-smulor. Ser du inte att det är allvarligt så tror jag inte att vi kommer kunna nå fram till något alls.

Kul även att se vad som verkar vara ”jag har rent mjöl i påsen”-argumentet. Det används friskt som motargument kring kritik riktad mot brister i hantering av personlig integritet.

Jag diggar uttrycket ”jag har rent mjöl i påsen, just därför ska jag få vara lämnad i fred”, det är lite den parollen jag kör på.

Mitt användande ändras inte heller på något vis, jag tar till de metoder jag känner behövs för att lägga mitt eget skydd på en nivå jag känner mig hyfsat trygg med.

Det gör inte att jag har något till övers för företag som handskas ovarsamt med de uppgifter de har om mig.

Diskussionen kommer inte att leda någonstans, varför jag här har för avsikt att avsluta den.

Förövrigt så förstår jag inte ens vad det egentligen spelar för roll huruvida ett bolag sparar uppgifter eller inte. Det har kommit en ny lag, och måste man så som användare av nätet byta till en leverantör som säger sig radera uppgifter så bör man nog fundera över vad man pysslar med på nätet.

Så vad håller du på med som är av den vikt att det är viktigt att din ISP raderar uppgifter?

Personligen så struntar jag högaktiningsfullt i om nu min IPS gör det eller inte (har BBB). Mitt användande har inte och kommer inte att ändras på något sätt och vis.

Är vi överens om att de trots allt faktiskt gör det?

I så fall utgår jag från att du håller med om att AllTele inte talar sanning och att de dessutom handskas med uppgifterna ganska oförsiktigt?

Jag har talat med AllTele kring utredningar rörande barnporr, eller IT-brott i allmänhet. De hjälper till när det finns domstolsbeslut, men det är från den tidpunkten och framåt. Inte historiskt sett bakåt.

I samma samtal med AllTele hävdade de att utlämnandet av uppgifterna förmodligen berodde på att det den veckan inte fanns någon ”tydlig” policy kring detta vad gäller kundservice-biten. Nu påstås det att det är totalstopp för det, allt sådan skall gå via traditionell post i fortsättningen.

Sedan är det ju helt enkelt en fråga om vem som efterfrågar vad. Ta Banhof t.ex, de som var först med att gå ut med att de raderar sina listor.
Får de in en förfrågan från där efterfrågaren hänvisar till Ipred, så har de inte kvar något. Får de däremot in en förfrågan om IP där det har att göra med barnporr och förfrågan kommer från polisen/SÄPO (som jobbar stenhårt för att motverka barnporr) så har de uppgifter att ta fram. Det är deras skyldighet iom arbetet som görs mot just barnporr i samarbete med SÄPO.

Vänd på det hela och låt oss säga att Banhof raderar precis allt…ja då är ju Banhof rena drömmen för de som vill hålla på med olagligheter.

Sedan är det en viss skillnad på att lagra data om ett visst IP och att lagra vilket IP som en viss kund har.

Jag är rätt säker på att vilket bolag som helst, som kör med statisk IP och säger sig radera allt, raderar just datan som ett visst IP gör, men att de fortfarande lagrar vilket IP som är tilldelad en kund i realtid.

Så på så sätt så raderas allt bakåt i tiden och ingen ISP kan avgöra vem som haft vilket IP bakåt (vid förfrågan) men de kan se vem som har det IP just nu.

att lämna ut dem var väl inte så genomtänkt

Precis.

hur hade du tänkt att det skulle lösa sig för statiskt tilldelade IP? Det blir ju en problematik där

Absolut. Det var därför jag reagerade över att AllTele gick ut med följande uttalande:

AllTele har beslutat att med omgående verkan ansluta sig till Integrity initiative och därigenom inte spara några kunduppgifter som kan komma att lämnas ut enligt IPRED

Du får hemskt gärna hänvisa till källor rörande det du syftar på med att de är skyldiga att ”lagra data”, det blir svårt att veta vad du syftar på annars (och därmed även lite kämpigt att bemöta). =)

Företag skall absolut kunna lita på sina kunder till en viss grad, men till saken hör att jag aldrig tidigare stött på ett företag som så lätt lämnat ut kunduppgifter. Inte så mycket som en enda kontrollfråga. Dessutom fick de som sagt var uppgifter som inte stämde överens med de uppgifter de själva hade. Det är något som verkligen bör höja en varningsflagga.

Vart jag vill komma? Jag ska försöka ta det väldigt enkelt och tydligt, förkortat till en enda rad:

AllTele hävdar att de inte sparar på kunduppgifter (se citat ovan). De sparar trots detta på sådana uppgifter.

Jag kan nog inte förklara läget tydligare än så.

Sedan känner du säker till att alla bolag, oavsett vad de säger, är skyldig till att lagra data en period med tanke på annat fuffens som försigår på nätet. SPAM, barnporr, trakasserier osv?

Egentligen skulle det bästa vara om alla leverantörer gick på DHCP.

Sedan har du en annan problematik. Ska inte en leverantör kunna lita sina kunder?
Inkommna uppgifter ej stämmer? Jag förstår inte vart du vill komma? Jag ahr själv ca 5 epostadresser som jag använder och inte fasen håller jag reda på vilken jag har reggat vart.

Det finns garanterat företag som lämnar ut uppgifter på det viset, alla företag gör det dock inte.

Men vi är på väg att villa bort oss från grundproblemet, nämligen att AllTele trots det de påstår faktiskt sparar uppgifter (att de dessutom lämnar ut dem trots att de inkomna uppgifterna inte stämmer är en ”bonus”).

Det kan även vara värt att påminna om att e-postadressen jag gav dem inte stämde överens med de uppgifter de kan ha haft rörande mig som kund, de fick med andra ord uppgifter som var felaktiga.

Deras supportsystem kan mycket väl matcha ett personnummer mot kundregistret, om inte annat kan de göra det manuellt (något annat vore mycket konstigt). Det tar faktiskt inte längre tid än 30 sekunder att få fram en individs personnummer, det är en offentlig handling (något som många verkar vara ovetande om). Det är dock inte relevant, den biten ändrar inte på allvarlighetsgraden.

Är det en vardag så är ett personnummer bara ett telefonsamtal till skatteverket bort och dygnet runt kan man komma åt det via fria (och fullständigt legala) tjänster på nätet (Ratsit, bara för att nämna en).

Kundnumret å andra sidan, det går inte att få tag på lika lätt. Det kräver fysisk tillgång till personens post. Personnumret kan du komma åt var i världen du än befinner dig. Ser du att de två fallen skiljer sig åt?

Vad gäller mitt IP så är det inte drabbat av någon av de begränsningar du nämner.

Faktum kvarstår: AllTele sparar på uppgifterna (vilket de utåt sett sagt att de inte gör), de lämnar dessutom ut kunduppgifter mycket, mycket lättvindigt.

Det har aldrig slagit dig att ett supportsystem, som det som du uppger att Alltele har, kan matcha ditt personnummer mot de uppgifter som finns i deras kundregister?

Att du sedan påstår att det skulle ta dig 30 sek att få fram någons fullständig personnr synar jag.

Även om du sedan inte blev ombedd att lämna ditt kundnr, vad är det som inte säger att du luskat reda på det också, om du nu kan ta fram ett fullständigt personnr på 30 sek?

Egna erfarenheter av studentnätet i Lkpg är att det ren DHCP tjänst där. Knappar man in IP i t.ex router så funkar det bra så länge man inte stänger av den en längre tid eller flyttar.

Tänk också på att fast publik IP-adress är det sämsta du kan ha när det gäller IPRED, oavsett operatör. Helst så ska man ha en icke publik dynamisk IP-adress, om man är riktigt paranoid.

Att AllTele sparar vissa uppgifter om fasta IP-adresser är självklart och går inte att komma ifrån av tekniska skäl. Däremot så innebär det inte automatiskt att det dom säger är lögn. Att dom lämnar ut uppgifter så lättvindigt är dock ett problem.. Men detta har föga med IPRED att göra, eftersom IPRED handlar om att veta vem som hade en viss IP-adress då rättighetsintrånget begicks. Dom börjar dessutom från en IP-adress och vill ha en användare, inte tvärtom som i detta fall. ”Hej, jag har glömt vem jag är! Jag har bara kvar denna IP-adress, kan du hjälpa mig?”

Det finns möjligheter att komma runt allt möjligt. Det är dock för det mesta olagligt för rättighetsindustrin att arbeta på detta sätt eftersom det innebär saker som urkundsförfalskning, dataintrång, olaglig övervakning, m.m. (dom har inte riktigt fulla polisrättighet, ännu..)

Jag hade haft betydligt mindre att invända mot utlämnandet av uppgifter ifall de hade gjort en så minimal åtgärd som att helt enkelt maila uppgifterna till den e-postadress jag hade angett i deras system istället för den jag uppgav i min kontakt med dem. Det är inget som hade inneburit det minsta merjobb från deras sida, samtidigt hade det höjt säkerheten ganska rejält. Att jag faktiskt var den jag utgav mig för att vara har inte med saken att göra egentligen. Det gör inte situationen bättre.

Jag var rejält sugen på att försöka få fram någon kompis uppgifter, givetvis med deras tillåtelse, men bestämde mig för att trots allt låta bli. Detta för att inte på något sätt kunna bli anklagad för lagbrott.

AllTele sparar ju trots allt bevisligen på uppgifter, trots att de hävdar motsatsen. De lämnar också gladeligen ut uppgifterna utan att på något som helst sätt försöka säkra att de skickar ut dem till rätt person.

Det är väl knappast vidare bra?

Fast i det här fallet är det inte riktigt detta som har hänt. I det här fallet lämnade AllTele ut det IP-nummer jag har. De uppgifter de fick från mig var mitt namn, mitt personnummer (går ju som bekant att få tag på buslätt) och en e-postadress som inte stämde överens med den de hade i sitt kundregister. De fick inte mitt kundnummer.

De hade med andra ord inte en susning om vem de lämnade ut uppgifterna till, det kunde ha varit vem som helst, något som inte är acceptabelt. Hade de krävt kundnumret så hade det varit lite högre säkerhet.

Vill passa på att tipsa om att du kan svara på en kommentar genom att klicka på ”svara” som står underst i kommentaren

Du är också intresserad av vad jag tycker om att dom lämnar ut kunduppgifter, så jag ska försöka kommentera det lite.

Det där är alltid en avvägning. Om man ska misstänka sina kunder in i det sista så blir det väldigt problematiskt att driva en fungerande kundtjänst och support. Jag tycker dock att dom i detta fall kunde ha kontrollerat det mer noggrant. Ett sätt är att dom inte svarar på sådant via mejl, utan alltid skickar ut det via brev. Du hade då som kund fått veta att dom inte litar på dig och sedan fått vänta på postgången, vilket irriterat en del kunder. En avvägning som sagt. Kanske hade dom skäl nog att lita på dig, du är ju trotts allt den som du utgav dig för att vara och deras bedömning var korrekt i just detta fall.

Det skulle vara intressantare att se vad man kan få ut om någon person som man inte alls känner med lite social-engineering.

Att få tag på en persons IP-nummer är absolut inget som ska gå att göra i en handvändning, på vilket sätt menar du att detta inte är någon svårighet?

De måste så klart ha någon form av register för fasta IP-nummer, men utåt hävdar de att deras kunder kan känna sig trygga just för att sådana uppgifter inte sparas. De säger inte ”De av våra kunder som har dynamiskt tilldelade IP-nummer kommer inte att få sina användaruppgifter sparade”. I deras pressmeddelande står det:

AllTele har beslutat att med omgående verkan ansluta sig till Integrity initiative och därigenom inte spara några kunduppgifter som kan komma att lämnas ut enligt IPRED.

Detta är en av de delar jag vänder mig mot, att de inte talar om hela sanningen. För de sparar ju bevisligen sådana uppgifter.

Den andra biten finns det ingen ursäkt för. Att det är möjligt att kontakta AllTele och därigenom få ut en persons IP-nummer utan att ens uppge kundnummer och dessutom med en e-postadress som inte stämmer överens med den de har sedan tidigare är i mina ögon oförsvarbart.

Anser du att det är rätt av AllTele att inte gå ut med korrekt information? Anser du att AllTele agerar korrekt när de lämnar ut kunduppgifter så lättvindigt?

Detta är ett vanligt missförstånd. Man KAN ha en fast IP-adress tilldelat av DHCP. I vissa fall är det dessutom av säkerhetssjäl det enda sättet. Jag tvivlar också starkt på att du själv fick ange vilken IP-adress du ville använda när du anslöt dig, det fungerar inte. Däremot så kanske du fick ange din MAC-adress för att deras DHCP server skulle kunna dela ut samma reserverade IP-adress varje gång till dig?

Sedan tycker jag att logiken är lite märklig. Hur ska du kunna ha en fast IP-adress utan att AllTele har koll på att den är tilldelad dig. Hur ska det fungera? Hur ska dom kunna frigöra den när du byter operatör om dom inte vet att du har den? Hur ska dom kunna tilldela IP-adresser till nya kunder om dom inte får veta vilka som är upptagna?

Det som dom förmodligen inte sparar är saker som hur länge du har haft den, vid vilka tidpunkter du fått den via DHCP (om det används), eller vilken kund som hade den före dig, osv. Detta gör att dom inte kan lämna ut uppgifter även om det är en kund med fast IP-adress, eftersom dom inte kan garantera att denna kund hade den fasta adressen då rättighetsintrånget begicks.

AllTele är på den goda sidan. Klaga på dom som inte gör något istället.

Fast att de skicka ut ditt ip nummer så lätt är roligt men har inget med att du kan bli fast att göra.

AllTeles supportsystem är uppbyggt med ett kontaktformulär på deras sida, varpå man sedan får svar som mail. För att lägga till något måste man till formuläret igen. Men som sagt: Inga kundnummer, inte ett meddelande från min egen anslutning och inte heller angav jag den e-postadress jag har reggat hos dem.