Teleselskab afsløret: Websider fik automatisk oplyst telefonnummer på besøgende

Det britiske teleselskab O2 er blevet afsløret i at sende kundernes telefonnummer videre til webside-ejerne, når de browsede fra mobilen. Ved en fejl skete det for alle websider i to uger.

Har din hjemmeside haft besøg af kunder hos teleselskabet O2 de seneste to uger, vil du kunne finde deres telefonnummer i din log.

I hvert fald hvis disse englændere brugte deres mobiltelefon til at browse med. For siden 10. januar har O2 ved en fejl sendt telefonnummer med i de header-data, der bliver sendt fra browseren til websiden, man besøger.

Normalt vil det være oplysninger om styresystem, skærmopløsning, skrifttyper og lignende, som en webside får tilsendt ved et besøg. Det gør det muligt at tilpasse præsentationen af indholdet på siden, for eksempel ved at servere en mobilversion.

Men da en brite sad og arbejdede med netop header-data på sin webside, opdagede han, at der også var registreret telefonnumre på nogle af sidens besøgende. Det skriver avisen The Guardian.

Efterfølgende har O2 indrømmet, at der var sket en fejl, så muligheden for at sende kundernes telefonnummer med som header-data blev slået til som standard. Fejlen blev rettet onsdag i denne uge.

Men at der overhovedet var mulighed for at udlevere telefonnumre, var nyt for de fleste, og sagen er nu meldt til det britiske datatilsyn, der dog endnu ikke har taget stilling til, om loven er blevet brudt.

Muligheden for at sende en kundes telefonnummer til hjemmesider, han besøger fra sin telefon, bliver ifølge O2 brugt til udvalgte sider, hvor der er brug for at kunne verificere den besøgendes alder.

Sikkerhedskonsulent Graham Cluley fra firmaet Sophos er dog ikke imponeret over, at O2 har holdt denne funktion skjult for brugerne.

»Hvorfor kan jeg ikke selv bestemme, om en webside må se mit telefonnummer? Hvis jeg ikke er enig, kan de jo bare lade være med at give mig adgang,« siger han til The Guardian.

O2 er Storbritanniens næststørste teleselskab med omkring 30 millioner kunder.

Kommentarer (8)

Peter D Hansen

I Danmark anvendes samme funktion bl.a. i traditionelle browser-baserede mobilbank-løsninger fra netbank-systemudbyderen SDC (før separate apps blev udbredte/mulige).
Hvordan danske teleselskaber sikrer sig, at nummeret kun videregives når relevant, ved jeg ikke.

Kenn Nielsen

Dette må betyde at der er en log hos teleselskabet, som ikke bare logger trafikmængden, men også indeholder telefonnummer + indhold.

Gratis smagsprøve af O2.
Nu ventes der så bare på at nogen finder noget at bruge sammenkædningen til.
Så kan data sælges....

K
- Sarkasme er tilsat, hvis du syn's..

Erik Jacobsen

Vil det så ikke være muligt for alle, at medsende en header, der udgiver sig for at komme fra et valgfrit telefonnummer? Og hvis det er muligt, hvad bliver det så brugt til?

Jesper Lund

Vil det så ikke være muligt for alle, at medsende en header, der udgiver sig for at komme fra et valgfrit telefonnummer? Og hvis det er muligt, hvad bliver det så brugt til?

Ifølge artiklen bliver det brugt til aldersverifikation, hvilket må forudsætte at der sker opslag i databaser somewhere. Telefonnummeret som sådan siger jo ikke noget om alder.

Selvfølgelig kan en HTTP GET header nemt spoofes (f.eks. hvis referer bruges til at give adgang til indhold), men det er noget nemmere på en computer end på en lukket mobiltelefon.

Jesper Lund

Selvfølgelig kan en HTTP GET header nemt spoofes (f.eks. hvis referer bruges til at give adgang til indhold), men det er noget nemmere på en computer end på en lukket mobiltelefon.

Det er ikke klienten som indsætter denne header hos O2. Det er en proxy server som modificerer GET header fra browser klienten

http://lew.io/headers.php

To answer some questions and responses I've seen - no, it's not anything client-side. O2 seem to be transparently proxying HTTP traffic and inserting this header.

Godt argument for at bruge HTTPS. Så ser din ISP ikke GET header, medmindre de laver virkelig grimme ting (Iran-like stuff).

Jesper Lund

I Danmark anvendes samme funktion bl.a. i traditionelle browser-baserede mobilbank-løsninger fra netbank-systemudbyderen SDC (før separate apps blev udbredte/mulige).
Hvordan danske teleselskaber sikrer sig, at nummeret kun videregives når relevant, ved jeg ikke.

Det er næsten endnu mere spooky end O2 sagen. O2 videregiver mobilnummeret ved at deres HTTP proxy server modificerer din GET header. Men det kan en proxy server ikke ved HTTPS (som en netbank må formodes at bruge), medmindre den bryder ind i TLS forbindelsen hvilket igen kræver forfalskede certifikater (som din browser stoler på, typisk ved at der er indsat en falsk CA).

Jesper Lund

Dette er en feature, ikke en bug. Fejlen ligger i at O2 har videresendt mobilnummeret til lidt for mange websites.

http://blog.o2.co.uk/home/2012/01/o2-mobile-numbers-and-web-browsing.html

Every time you browse a website (via mobile or desktop), certain technical information about the machine you are using, is passed to website owners. This happens across the internet, and enables website owners to optimise the site you see. When you browse from an O2 mobile, we add the user's mobile number to this technical information, but only with certain trusted partners. This is standard industry practice. We share mobile numbers with selected trusted partners for 3 reasons: 1) to manage age verification, which manages access to adult content, 2) to enable third party content partners to bill for premium content such as downloads or ring tones that the customer has purchased 3) to identify customers using O2 services, such as My O2 and Priority Moments. This only happens over 3G and WAP data services, not Wifi.

Eller sagt med andre ord: det foregår stadigvæk, men nu sender O2 kun mobilnummeret til "trusted partners", som ikke render til The Guardian med deres afsløringer af privacy krænkelser.

Det er naturligvis ikke abonnenten (kunden) som bestemmer hvem der er "trusted partner" (har vi ikke hørt den før?).

Hvis det virkelig er "standard industry practice" at proxy servere skal modificere GET headere og videresende mobilnumre uden mit samtykke, vil jeg fremover holde mig langt væk fra mobiltelefoner med internet medmindre der bruges HTTPS, eller endnu bedre at alt internettrafik sendes krypteret via SSH tunnel el.lign. til en proxy server som jeg selv stoler på (læs: en server som jeg selv administrerer).

Log ind eller opret en konto for at skrive kommentarer

JobfinderJob i it-branchen

TDC skifter koncernchef efter faldende mobilomsætning

Jesper Stein Sandal Mobil og tele 14. aug 2015

Nyeste job

KurserStyrk dine evner med et kursus

Informationssikkerhed Auditorkursus

Hvornår: 2015-09-29 Hvor: Fyn Pris: kr. 15600.00

VMware vSphere What´s new [V5.5 to V6]

Hvornår: 2015-09-24 Hvor: Østjylland Pris: kr. 10700.00

Word kursus udvidet

Hvornår: 2015-08-31 Hvor: Storkøbenhavn Pris: kr. 5100.00

Dynamics NAV 2013 - Økonomistyring

Hvornår: 2015-09-07 Hvor: Østjylland Pris: kr. 4200.00

DS-universitetet - Introduktion til standardisering

Hvornår: 2015-09-16 Hvor: Storkøbenhavn Pris: kr. Gratis