– Det er fullstendig uansvarlig, sier fagdirektør Finn Myrstad i Forbrukerrådet.
Han snakker om selskaper som lever av å samle inn informasjon om hvor folk har vært, for å bruke det til markedsføring.
Finn Myrstad er fagdirektør i Forbrukerrådet. Han mener hackerangrepet mot Unacast var en varslet katastrofe.
Foto: Martin Gundersen / NRKRett etter nyttår oppdaget det norsk-amerikanske dataselskapet Unacast at de var blitt hacket.
Store mengder private data om mobilbrukere over hele verden ble lagt ut på et russisk nettforum. Dataene som hackerne skal ha stjålet, skal være alt fra kundelister til folks lokasjonsdata. De publiserte det de kalte en «smakebit» av informasjonen de stjal.
I disse dataene kan det ligge informasjon om 146.000 nordmenns fysiske plassering.
Noen dager senere kunne NRK fortelle en annen historie om store mengder lokasjonsdata. Da fikk NRK tilgang til et annet datasett via et internasjonalt mediesamarbeid. Slik fant NRK Line fra Moss, som har en av 17.000 norske mobiler som på én dag ble sporet.
NRK har siden 2020 dokumentert i en rekke artikler, hvordan lokasjonsdata kan misbrukes.
Varslet katastrofe
Hackerangrepet mot norsk-amerikanske Unacast var en varslet katastrofe, mener Myrstad i Forbrukerrådet.
– Disse selskapene er ekstremt attraktive å hacke.
Hele forretningsmodellen deres er å samle inn informasjon fra ulike apper fra folks telefoner og selge dem videre, forklarer Myrstad.
– Det er et fundamentalt pill råttent system. Man mister all kontroll over sitt eget liv, sier han.
Derfor vil selskaper vite hvor du har vært
Informasjon om våre bevegelser er svært verdifull. Den kan brukes til annonser, analyser og reklame, for å nevne noe.
En egen bransje med selskaper, ofte kalt dataforhandlere, lever av å samle inn informasjon om bevegelsene våre. Det kan de tjene mye penger på.
Noen selskaper spesialiserer seg også på å selge til myndigheter og privatetterforskere.
Hvordan får de vite hvor du har vært?
De kan få tilgang til lokasjonsdataene på ulike måter:
- Fra annonsesystemet for nettsider og mobilapper: For å tilby brukerne personaliserte annonser må mobilapper dele informasjon om brukerne sine med flere selskaper.
- Fra direkte samarbeid med mobilappene: Dataforhandlere kan betale apputviklere for å få tilsendt lokasjonsdata direkte fra appen.
Presis lokasjon
Noen apper deler data, som viser ganske nøyaktig hvor vi beveger oss. De som har tilgang kan relativt enkelt finne ut mye om oss.
Som for eksempel hvor vi bor, hvor vi jobber, hvem vi er sammen med og hva vi liker å gjøre på fritiden, for å nevne noe.
Upresis lokasjon
I andre tilfeller deler mobilappene mer omtrentlig posisjon, men som likevel kan gi en pekepinn på hvor folk befinner seg.
Disse dataene kan for eksempel vise hvilken by du bor i og at du pendler til jobben.
Det er fordi slike posisjoner ofte er basert på IP-adressen til mobilen.
En IP-adresse er en måte for datamaskiner å vite hvem de skal snakke til.
Amanda Pedersen Giske / NTB
Er det så farlig, da?
Informasjon om bevegelsene våre kan misbrukes av cyberkriminelle, eller benyttes av etterretningstjenester.
Eksperter advarer mot at dataene kan brukes til utpressing og manipulasjon av maktpersoner, eller andre med særskilte oppgaver i samfunnet.
Dataforhandlerne er også svært utsatt for hackerangrep.
Er dette lov?
Personvernlovene i Norge og Europa stiller en rekke krav til hvordan informasjon om oss skal behandles. Det er lovlig å samle inn og selge personopplysninger, men måten man gjør dette på avgjør om det er lovlig.
I 2022 leverte Personvernkommisjonen en rapport, hvor de anbefalte en utredning av et generelt forbud mot adferdsbasert markedsføring. Stortinget har bedt om det samme.
Penger fra staten
Unacast, med sitt underselskap Gravy Analytics, ble hacket rett over nyttår.
Unacast har bygget seg opp som en av stjernene på den norske gründerhimmelen, med gjentatte oppslag i finanspressen siden oppstarten i 2014. I 2023 slo de seg sammen med amerikanske Gravy, som også har et datterselskap, Venntel.
Unacast har også blitt satset på av staten. Kapitalselskapet Investinor har vært inne på eiersiden siden 2016. Staten eier hundre prosent av aksjene i Investinor.
Kommunikasjonssjef i Investinor, Morten Bertelsen, bekrefter i en e-post at de har investert 126,6 millioner kroner i Unacast.
Men tross statlig støtte i Norge har selskapene vært kontroversielle i USA.
I desember iverksatte det amerikanske FTC, en statlig organisasjon med ansvar for personvern, tiltak mot Gravy og Venntel, for ulovlig salg av persondata.
I januar ila FTC de to selskapene et forbud mot å selge sensitive lokasjonsdata.
Unacast: – Tar personvern på alvor
NRK har forelagt kritikken for Unacast, som har vært svært tilbakeholdne med informasjon etter hackerangrepet. Men i et varsel til Datatilsynet har selskapet innrømmet at de har vært utsatt for et innbrudd.
Selskapet ble først oppmerksomme på angrepet da hackerne tok kontakt.
Siden forteller de at de har sikret systemene sine sammen med sikkerhetseksperter.
Unacast har kontorer sentralt i Oslo.
Foto: Julie Helene Günther / NRKI en e-post til NRK svarer Unacasts via sin norske advokat at de tar personvernet på alvor. Videre skriver de at de raskt tok grep etter hendelsen, for å sikre systemene sine. De jobber fremdeles med å finne ut av omfanget av angrepet, og det vil ta tid før de kan konkludere.
– Det er begrenset hva vi kan dele om angrepet.
– Våre praksiser og retningslinjer er i tråd med våre juridiske forplikter, skriver Unacast i e-posten.
Stor svakhet
Det er en trussel i seg selv at kommersielle selskaper sitter på så mye data om mobilbrukere, mener Forbrukerrådet.
– Det er en gigantisk svakhet. Det burde ikke vært lov å samle dem inn.
Forbrukerrådet har bedt om et forbud mot markedsføringen basert på dataene.
– Jeg tenker det ligger noe ansvar på politikerne her, sier Myrstad.
I 2022 anbefalte Personvernkommisjonen i en rapport en utredning av et generelt forbud mot atferdsbasert markedsføring.
Stortinget har bedt om det samme. Men ennå har det ikke dukket opp noen utredning. Langt mindre et lovforslag
– Departementet arbeider nå med oppfølging av Personvernkommisjonens rapport og tar sikte på en utredning i løpet av 2025, skriver Digitaliserings- og forvaltningsminister Karianne Tung (Ap) i en e-post.
Digitaliserings- og forvaltningsminister Karianne Tung.
Foto: Hanna Johre / Hanna JohreEn ny lov om elektronisk kommunikasjon trådte i kraft 1. januar i år. Ifølge Tung vil den gi et sterkere vern mot uønsket sporing på nett.
– Vi jobber også med å gjennomføre DSA i norsk rett. Dette er regler som blant annet vil forby atferdsbasert reklame rettet mot barn og unge, skriver hun.
– I tillegg vil det forby atferdsbasert reklame som bygger på sensitive personopplysninger, som informasjon om helse eller politiske meninger, forklarer Digitaliseringsministeren.
Publisert 24.01.2025, kl. 13.30
English (US)