Guldspaden Vinnare 2022

Smutsiga personuppgifter

Tillbaka
Vinnare av Guldspaden 2022 i kategorin Etermedia riks nyhet Se bidrag: Bidrag (.mp4, 680 MB) Kategori Etermedia riks nyhet Vinnare Emil Hellerud Lovisa Thuresson Förutom ovanstående deltog följande personer Daniel Gökinan Gerda Nilsson-Tysklind Jonas Alsgren Peter Lakowitz Publiceringsdatum 7-15 december 2022 Var publicerades jobbet? TV4 Nyheterna / Kalla fakta

BESKRIV KORTFATTAT VAD GRÄVET AVSLÖJAT

Kalla faktas snabbgrävsgrupp avslöjade hur flera stora svenska företag använder personuppgifter som samlats in med hjälp av varumärkestölder och kan kopplas till misstänkta bedrägerier. TV4:s systerbolag C More, Schibstedtägda Compricer, Vattenfall, Fortum, Göta energi, teleoperatören Tres lågprisalternativ Hallon samt Viaplays och Telenors streamingtjänst Allente är några av de företag som avslöjades i granskningen av den smutsiga datahandeln på nätet. Vissa företag, som Likvidum och Tre:s Hallon, avslöjades med att fortsätta köpa personuppgifterna även efter att de sagt att de slutat. I serien av nyhetsinslag avslöjades också hur strukturer med företag i skatteparadiset Singapore och mellanhänder gör handeln med personuppgifter svår att överblicka och försämrar konsumenters möjligheter att hävda sin rätt.

PÅ VILKET SÄTT ANSER DU ATT GRÄVET UPPFYLLER KRITERIERNA FÖR EN GULDSPADE?

Granskningen är ett självständigt originalarbete av ett nytt fenomen som berör nästan alla men som sällan granskas. En nyskapande metod har använts för att kunna spåra personuppgifter baklänges genom den komplexa marknad för handeln som växt fram. Kopplingarna mellan välkända företag och internets baksida, med misstänkta bedrägerier och varumärkesstölder, är tidigare okända. Enbart de säljare som granskats säljer varje år flera hundra tusen svenskars personuppgifter till ett värde av tiotals miljoner kronor.

HUR UPPSTOD URSPRUNGSIDÉN TILL PROJEKTET?

Att granska handeln med personuppgifter har funnits som en idé och önskan på redaktionen under lång tid. Sprängkraften blev uppenbar med skandalen kring Cambridge analytica 2018, men problemet är att ämnet tenderar att bli abstrakt, resonerande och hypotetiskt. Genom ett tips till redaktionen uppstod idén att spåra personuppgifterna baklänges för att kartlägga handeln som normalt är skyddad från insyn genom affärssekretess. Tipset medförde också ett fokus på falska annonser på sociala medier som många är bekanta med från exempelvis Facebook. När det var belagt att vi kunde dokumentera kopplingar till misstänkta bedrägerier och ett par stora företag stod listade som samarbetspartners började vi arbeta systematiskt för att gräva djupare.

VILKA ARBETSMETODER TILLÄMPADES?

Under ett och ett halvt års tid har Kalla fakta dokumenterat flera bluffannonser på sociala medier. Inlägg, grupper och annonser som påstås komma från olika företag och utlovar gratis prylar. Metoden har gått ut på att skapa fem olika identiteter, Erik, Johan, Erik P, Alice och Bob. Dessa påhittade personer har fått klicka på länkarna i annonserna för att se var de tar vägen, samtidigt som allt har dokumenterats med skärminspelningar och skärmdumpar. När annonserna med de stulna varumärkena ledde vidare till tävlingar lät vi våra påhittade personer skriva in de efterfrågade personuppgifterna, bland annat namn, adress, telefonnummer och känsliga uppgifter om deras privata ekonomi. I utbyte lovades de att kunna vinna fina priser i tävlingarna. Sedan har vi svarat i telefon när någon ringt upp på de telefonnummer som fyllts i. På så sätt har vi kunnat visa vem som köpt personuppgifterna. För att undvika felkällor har vi använt olika nyregistrerade kontaktkortsnummer för olika tävlingar och instruerat mobiloperatören att inte dela telefonnumren till externa källor. I arbetet med att dokumentera vad som händer efter att en person klickat på annonslänkarna har vi också kunnat visa hur det skett flera misstänkta bedrägeriförsök. Tävlingsdeltagaren uppmanas aktivera pushnotiser för att få veta om den har vunnit. Vi visade hur tävlingssidorna sedan skickar vidare personer till misstänkta bitcoinbedrägerier och abonnemangsfällor. För att hitta annonser med varumärkesstölder har vi dels övervakat sociala medier, men också identifierat unika komponenter i de url-adresser som använts för att länka vidare till tävlingarna. När vi hittat en annons har vi i flera fall på så sätt kunnat söka fram ytterligare annonser. En del i metoden har varit att låta en it-säkerhetsspecialist kontakta företagen som köpt personuppgifterna för att berätta om kopplingarna till bluffannonser. It-säkerhetsspecialisten har inte nämnt att han samarbetar med Kalla fakta, och vi har på så sätt kunnat dokumentera hur företagen agerat. Detta ledde till ett uppföljande avslöjande om hur vissa företag fortsatte att köpa personuppgifterna i flera månader eller längre, även efter att de sagt att de slutat. För att kartlägga företagen som samlar in och säljer personuppgifterna har vi dels wallraffat som köpare av personuppgifter och dels använt internationella företagsregister som Orbis för att förstå ägarstrukturer. När informationen saknats där har vi också använt Linkedin för att kartlägga anställda på olika företag och på så sätt kunnat koppla samman hur de hör ihop. Vi har också analyserat url-adresser för att se vilka så kallade affiliates, eller samarbetspartners, till tävlingsarrangörerna som publicerat eller skickat ut annonser med varumärkesstölder.

VILKA KÄLLOR ANVÄNDES?

Avslöjandet baserar sig i huvudsak på våra egna observationer. Vi har även använt företagsdatabasen Orbis, svenska företagsdatabaser, Linkedin och olika öppna verktyg för att analysera webbsidor och domäner. Se även metodbeskrivning ovan.

VILKA PROBLEM UPPSTOD?

I början kunde vi identifiera nya annonser genom att söka på unika komponenter i url-adresserna som vi identifierat som gemensamma nämnare, se metodbeskrivning. En bit in i projektet ändrade annonsörerna sin metodik så att länkarna omvandlades till kortlänkar. En kortlänk kan användas i många olika sammanhang och det var därför inte längre möjligt att identifiera nya annonser på det här sättet. I stället fick vi gå över till att observera och bevaka sociala medier för att upptäcka nya annonser. Ett genomgående problem har varit att få företagen att ställa upp på intervju framför kameran. De flesta köpare och säljare till personuppgifterna har avböjt intervjuer och inte velat svara på frågor. I stället har de insisterat på att skicka färdiga uttalanden som i flera fall inte besvarat våra frågeställningar. Vi har i största möjliga mån redovisat hur vi sökt svar på våra frågor utan att lyckas. Det har också varit en utmaning att hantera att det varit så många inblandade aktörer.

VAD ANSER DU VIKTIGAST?

Kväll 1, kväll 3 och kväll 4 är de viktigaste delarna i granskningen. Allra viktigast är den första delen, kväll 1. Där framgår dock inte alla avslöjade företag. Kväll 3 visar hur vi kunde ertappa vissa bolag med att köpa personuppgifter trots att de sagt att de slutat. Kväll 4 fördjupar strukturerna och uppläggen bakom handeln.

HUR MYCKET TID SPENDERADE NI?

Projektet pågick lågintensivt under ett och ett halvt år. Under denna tid dokumenterade vi bluffannonser som dök upp på sociala medier och var personuppgifterna tog vägen. Arbetet med ytterligare research och produktion pågick under två månader.

VILKA REAKTIONER HAR ARBETET FÅTT?

Samtliga avslöjade företag utom ett har sagt upp sina avtal med tävlingsarrangörerna och slutat att köpa deras personuppgifter. Flera av företagen har också inlett interna utredningar och förändrat sina rutiner för inköp av personuppgifter samt kontroll av leverantörer.

HAR AVSLÖJANDET FÅTT MEDIALT GENOMSLAG, I SÅ FALL VILKET?

Rapporteringen har fått stort genomslag på flera av TV:4s olika plattformar under de två veckor som publiceringen pågick. Avslöjandet har även fått genomslag i media med fokus på teknik.

HAR PROJEKTET ANMÄLTS TILL MEDIEOMBUDSMANNEN, GRANSKNINGSNÄMNDEN ELLER ANNAN INSTANS?

Granskningen har i skrivande stund inte anmälts till Granskningsnämnden.