Bedrägeriet mot Mats Arnhög och Christer Gardell utnyttjade svagheter i utlämningen för Telias e-legitimation. Med falska identitetshandlingar kunde bedragarna hämta ut legitimationer i finansmännens namn och därmed komma åt deras bankkonton.
Läs även: Nätbedragaren kartlade den svenska finanseliten
Enligt Hans G Larsson, informationsansvarig på Teliasonera kände bolaget inte till luckan som användes innan stölderna var ett faktum.
“Ingen av de jag haft kontakt med kan erinra sig någon sådan kritik och jag kan inte erinra mig att detta nämndes i oktober när bedrägerierna uppdagades”, skriver han i ett mejl till Di.
En av de målsägande i fallet är av en annan uppfattning. Fredrik Ohlsson är säkerhets- och operativ riskchef på SBAB. Enligt honom hade svagheterna påtalats för Telia långt innan kuppen mot Mats Arnhög och Christer Gardell.
“Vi har haft den diskussionen med Telia. Vi för den diskussionen i flera olika forum, främst hos bankföreningen. Det är en diskussion som funnits länge”, säger han till Di Digital.
Fallet kom inte som en blixt från klar himmel?
“Nej, det gjorde det inte. Vi, både bankerna och Telia, var medvetna om och är medvetna om den här sårbarheten”, fortsätter Fredrik Ohlsson.
Insatta källor som arbetat på Telia med bolagets e-legitimation ger honom stöd i det påståendet. Likaså ställer sig flera säkerhetsexperter frågande till hur Telia inte kan ha känt till sårbarheterna tidigare.
Vi, både bankerna och Telia, var medvetna om och är medvetna om den här sårbarheten.
Fredrik Ljunggren är säkerhetskonsult på Kirei och anses vara en av Sveriges främsta experter på området e-legitimation. Bland annat har han arbetat med de säkerhetskrav som svenska myndigheter ställer på e-legitimationer.
"Om jag ska vara försiktig kan man säga att det är osannolikt att Telia skulle vara helt ovetande om de här riskerna. Det är inte första gången det inträffar incidenter i utgivningsprocessen för e-legitimationer som involverar rekommenderat brev. Det är inte så man ska lämna ut legitimationshandlingar", säger Fredrik Ljunggren.
Han får medhåll från Peter Forsman, abuseansvarig på .SE, som arbetat med identitetsstölder under många år.
“Det är väl en väntad kommentar från deras håll. Men de här kryphålen har varit kända under lång tid,” säger han.
“Problemet är när försäljning går före säkerhetstänk och juridik. De här företagen vill sälja sina produkter. Då måste man göra det lätt att beställa och hämta ut dem”, fortsätter Peter Forsman.
Läs även: Nätbedragaren kartlade den svenska finanseliten
Läs även: Den stora blåsningen - hela reportaget om miljonbedrägeriet