De Volkskrant: Huawei miał nieograniczony dostęp do danych dla milionów klientów Telfort

Chiński Huawei miał nieograniczony dostęp do danych klientów i danych rozliczeniowych milionów abonentów holenderskiej firmy telekomunikacyjnej Telfort. Wynika to jasno z poufnego raportu KPN, właściciela Telfort – informuje holenderski dziennik „De Volkskrant”.

Gazeta dotarła do liczącego dziesięć lat raportu z wewnętrznego audytu. W 2011 r. KPN przeprowadziło w Telfort badania dotyczące nowego systemu obsługi klienta i rozliczeń zarządzanego przez Huawei. Audyt przyniósł wiele niepokojących sygnałów, w tym stwierdzenie, że Huawei regularnie usuwał pliki z systemu obsługi. Co zostało skopiowane nie ustalono, bo konfiguracja systemu nie wymagała logowania.

Gazeta przypomina, że Telfort był pierwszą w Europie firmą telekomunikacyjną, która w 2004 r. zaczęła korzystać z rozwiązań Huawei. KPN kupił konkurenta w 2005 r. Wówczas operator miał ok. 2 mln klientów. Spółka w 2010 r. uruchomiła dostarczony przez Huawei system obsługi klienta i system rozliczeniowy. Integratorem rozwiązań było HP.

Według dziennika, podczas audytu okazało się m.in., że 26 kont Huawei miało dostęp do środowiska klienta bez śledzenia, kto się zalogował i kiedy. Huawei miał również dostęp do bazy danych, który umożliwiał mu przeglądanie, zmianę lub usuwanie danych klientów. Nie było tu ani logowania, ani monitoringu. Huawei zainstalował również skrypt do przenoszenia plików w tzw. środowisku produkcyjnym. I tu nie było kontroli nad poczynaniami Huawei.

Jak pisze dziennik, Huawei kilkakrotnie został poproszony przez HP o zmianę lub zamknięcie dostępu, ale nie odpowiedział. Zdaniem audytorów z KPN, to co odkryli powodowała „brak bezpieczeństwa, niestabilność i /lub ryzyko wycieku danych”.

Dziennik twierdzi, powołując się na anonimowe źródła, że KPN nie badał dalej, czy i ile danych faktycznie zostało skradzionych. O incydencie bezpieczeństwa nie poinformował ani Autoriteit Persoonsgegevens, holenderskiego organu ochrony danych, ani klientów. Dziennik zauważa, że zgodnie z ówczesnym prawem nie było to obowiązkowe.

Dziś KPN komentując dla „De Volkskrant” ustalenia jego dziennikarzy twierdzi, że „nie było powodu”, aby „zakładać, że ktoś skradł dane klientów Telfort”. Operator nie chce odpowiadać na dalsze pytania na ten temat: „KPN na ogół nie omawia poufnych raportów biznesowych ze stronami trzecimi”. Dodaje, że systemu już nie jest używany.

Z kolei rzecznik Huawei powiedział dziennikowi, że firma nie może odnieść się ustaleń wewnętrznego raportu. – Nie znamy tego raportu, a poza tym nigdy nie wypowiadamy się w imieniu naszych klientów – powiedział gazecie rzecznik chińskiej firmy.

Dziennik informuje, że w przeszłości holenderskie służby wywiadowcze AIVD wielokrotnie ostrzegały KPN przed chińskim szpiegostwem przemysłowym. Według gazety, AIVD dysponuje zdobytymi podczas ofensywnych działań operacyjnych dowodami, że dane posiadane przez chińskich hakerów są zgodne z danymi KPN. Po pierwszym ostrzeżeniu KPN sprawdziło systemy, ale nie znalazło nic podejrzanego. Po kolejnym – wiosną 2019 r. – KPN i AIVD znaleźli ukrytą ścieżkę dostępu do danych. Jak twierdzi gazeta, tylko Huawei miał do niej dostęp.

Przypomnijmy, że w listopadzie 2019 r. grupa Cyfrowego Polsatu zerwała podpisany w 2016 r. kontrakt z Huawei na wielofunkcyjny system informatyczny, który miał obsługiwać klientów Cyfrowego Polsatu i Polkomtelu. Jako powód podano olbrzymie opóźnienia w realizacji przedsięwzięcia. W grudniu 2019 r. dokończenie systemu powierzono Asseco Poland, które było podwykonawcą Huawei w zerwanym kontrakcie.