DR's mobilsite kan forklare mystik om automatisk medsendelse af mobilnumre

Alt tyder på, at DR's mobile hjemmeside som følge af en gammel aftale med Unwire har fået medsendt også hemmelige telefonnumre i årevis. Det er dog tvivlsomt, hvorvidt numrene nogensinde er blevet brugt til noget.

Også DR's mobilsite har indtil november i år automatisk fået medsendt brugeres telefonnummer, når de er surfet ind på domænet mobil.dr.dk fra en mobiltelefon med et TDC-abonnement.

Det er sket som følge af teleoperatørernes praksis med at indsætte nummeret i den såkaldte http-header, når datapakker har forladt mobiltelefonen med kurs mod specifikke domæner, som Version2 tidligere har beskrevet.

Læs også: Mobilsurf: Danske teleselskaber sender dit telefonnummer til hjemmesider

I forlængelse af omtalen stoppede teleselskaberne i starten af november 2014 med at medsende mobilnummeret.

Læs også: Nu lukker teleselskaber for automatisk overførsel af mobilnumre til hjemmesider

Selvom en test, Version2 har foretaget, viser, at også mobil.dr.dk har fået medsendt telefonnumre indtil november i år, har DR efter eget udsagn ikke haft kendskab til dette. Som mulig forklaring henviser public service-virksomheden til en tidligere aftale med den store mobiltjenesteudbyder Unwire, der helt og senere delvist har drevet domænet mobil.dr.dk.

Unwire, der blandt andet har stået for sms-afstemningerne til realityprogrammet X Factor, er efter alt at dømme en af de relativt få virksomheder, som teleoperatørerne har beskrevet som betroede samarbejdspartnere, og som har fået mobilnumre medsendt via http-headeren i forbindelse med visse tjenester.

Læs også: Teleselskabernes nummertrick lader apps høste danskernes hemmelige numre

DR's aftale med Unwire har dog ikke været gældende siden august 2013, oplyser centerchef for DR's tekniske afdeling, TU Interaktiv, Hannah Kildahl. Da Version2 kontakter hende i første omgang, mener hun derfor heller ikke, DR har fået medsendt mobilnumre i http-headeren siden august 2013.

»Før august 2013 har DR muligvis fået medsendt brugerens mobilnummer i http-headeren, men hvis det skulle være sket, har DR ikke benyttet denne information til noget i mange år - om nogensinde,« skriver Hannah Kildahl i en mail.

Men Version2 har kunnet konstatere, at mobil.dr.dk frem til starten af november 2014 har fået medsendt mobilnumre i http-headeren, når domænet er blevet tilgået fra et TDC-mobilabonnement. Forelagt dette svarer Hannah Kildahl:

»Det er ikke teknisk muligt for DR at modtage mobilnummeret, medmindre brugerens egen browser eller teleudbyder har valgt at inkludere det i http-headeren. At TDC har medsendt mobilnummeret i nyere tid, er vi ikke vidende om. Det må være en praksis, de har genoptaget uden vores vidende, efter at vi forlod Unwire i august 2013. Det må være en sag mellem brugeren og teleudbyderen,« skriver Hannah Kildahl og fortsætter:

»Vi har selvsagt IKKE brugt informationen til noget.«

Mobil.dr.dk er langtfra det eneste domæne, der indtil november i år har fået medsendt mobilnumre, når Telia-, Telenor- eller TDC-kunder (inkl. eventuelle datterselskaber) har tilgået visse domæner fra en mobiltelefon. Mobilselskabet 3 har ikke i nyere tid medsendt mobilnumre i http-headeren.

Eksempelvis har en stribe domæner under JP/Politikens Hus også fået medsendt mobilnumre. It-direktør i JP/Politikens Hus Per Palmkvist Knudsen har tidligere over for Version2 stillet sig uforstående over for dette, ligesom han ikke har været bekendt med, at der skulle foreligge nogen aftale om, at mediekoncernen skal have mobilnumre medsendt i http-headeren.

Læs også: It-direktør i JP/Politikens Hus: Hvorfor får vi mobilnumre medsendt?

Men hvorfor har DR og JP/Politikens Hus så fået mobilnumrene medsendt? Det relaterer sig med al sandsynlighed til WAP (Wireless Application Protocol). En dataprotokol, hvor mobilnummeret har gjort det muligt automatisk at overføre prisen for købet af en ringetone, en mobilbillet eller andet til telefonregningen. Også kaldet WAP-billing.

I en pressemeddelelse om, at mobiloperatørerne nu ville stoppe med at medsende mobilnumre, lød det fra direktør i branchesamarbejdet Teleindustrien Jakob Willer:

»Wap-tjenester bruges stort set ikke mere, og den teknologiske udvikling har medført, at dette setup er blevet forældet og uhensigtsmæssigt – blandt andet fordi mobiltjenester i dag hyppigst baseres på apps. De seneste dages debat har også vist, at det er muligt at få mobilnummeret overført til andre end tjenesteudbyderne. Dette har gjort nogle mobilkunder utrygge.«

Beslutningen om at droppe medsendelsen af nummeret var en korrekt handling, som professor ved Aalborg Universitet og ekspert i teleret Søren Sandfeld Jakobsen tidligere formulerede det over for Version2.

Læs også: Teleselskabernes årelange nummertrick var sandsynligvis ulovligt

Professorens umiddelbare vurdering er nemlig, at det er i strid med persondataloven og udbudsbekendtgørelsen automatisk at medsende mobilnumre, hvis ikke der har været en konkret grund til det. Og i og med at WAP-tjenester med Teleindustriens egne ord 'stort set ikke bruges mere', er det også svært at få øje på den konkrete grund til automatisk at medsende mobilnummeret til et ukendt antal domæner.

Men selvom der i visse tilfælde skulle have været en grund, kan Hannah Kildahl ikke komme i tanke om den for DR's vedkommende. Samarbejdet med Unwire handlede ifølge Hannah Kildahl om at registrere, hvilken telefontype der tilgår mobil.dr.dk, med henblik på at vise indhold, som telefonen teknisk understøtter.

»DR benyttede Unwire som gateway for at kunne håndtere device-detection (om folk skulle have vist et WAP-site eller et smartphone- site), men det var ikke mappet op på brugerens mobilnummer, men på den device-information, der lå i http-headeren,« skriver hun.

Ifølge Hannah Kildahls udsagn er det altså tvivlsomt, hvornår og om mobilnumre i http-headeren har været relevante i forhold til DR's mobilsite. Tilbage står så spørgsmålet om, hvorfor i alverden numrene er blevet sendt til mobil.dr.dk frem til november 2014 via et TDC-abonnement.

Version2 har forsøgt at få TDC til at forholde sig til, at teleselskabet har indsat mobilnumrene i http-headeren på forespørgsler rettet fra en mobil dataforbindelse til mobil.dr.dk længe efter, at det lader til at have haft nogen relevans - hvis det da nogensinde har haft det.

»Vi er ved at undersøge denne her sag. Og så længe vi ikke er færdige med at undersøge den til bunds og få ryddet op i den, har vi altså ikke yderligere kommentarer,« lyder det kortfattede svar fra kommunikationsmedarbejder i TDC Rasmus Avnskjold, som henviser til TDC's tidligere, generelle udtalelser i forhold til sagen med mobilnumrene.

Det har ikke været muligt at få en kommentar fra Unwire, der på et tidspunkt skulle have stået for mobil.dr.dk.

Hverken TDC eller Unwire kan altså umiddelbart hjælpe med at opklare, hvorfor blandt andet DR's mobilsite har fået medsendt mobilnumre frem til november 2014 som følge af en teknologi, der stort set ikke bliver anvendt længere.

Glemte domæner og whitelisting?

En mulig forklaring kan være, at Unwire - der gennem årene har leveret WAP-løsninger til blandt andet flere medier og trafikselskaber - har fået adskillige domæner whitelistet hos teleoperatørerne med henblik på at kunne levere visse tjenester. Eksempelvis salg af indhold over mobilregningen.

Når mobiloperatørerne så har registreret, at en kunde har bevæget sig ind på et af domænerne på listen, er mobilnummeret automatisk blevet indsat i http-headeren.

Men efterhånden som WAP er blevet mindre udbredt, har hverken mobiloperatører, tjenesteudbydere eller domæneindehavere taget initiativ til, at listen med domæner skulle opdateres, så mobilnumrene ikke længere blev automatisk sendt med. Og derfor er praksissen fortsat i årevis.

Dette beror dog på et kvalificeret gæt, da hverken TDC eller Unwire har formået at besvare vores spørgsmål om, hvorfor DR's mobilsite i alle årene frem til november 2014 har modtaget mobilnumrene.

DR's forklaring om, at mobilnummeret umiddelbart ingen relevans har haft for mobil.dr.dk, kunne desuden tyde på, at de domæner, der er blevet whitelistet i teleoperatørernes bagvedliggende systemer, automatisk har fået indsat mobilnummeret i http-headeren - uanset om den information har været relevant eller ej i forhold til det konkrete brugsscenarie.

»Det er uheldigt«

Forklaringen, at en stribe domæner i sin tid er blevet whitelistet hos teleoperatørerne, uden at nogen løbende har forholdt sig til relevansen af listen, lyder sandsynlig, mener internetaktivist og datalog Christian Panton. Det var ham, der satte gang i den nuværende debat, da han testede sig frem til, at mobilnumre blev indsat i http-headeren, når visse domæner blev forsøgt tilgået fra en mobiltelefon.

»Det er uheldigt, at personoplysninger på den måde er flydt rundt på internettet - uden at kunderne har været bekendt med det,« skriver han i en mail.

Christian Panton kalder det en konsekvens af internettets natur, at numrene fortsat er tilgået visse domæner, selvom virksomheden bag driften af domænerne måtte have skiftet gennem årenes løb.

»Det er ærgerligt, at TDC og de andre selskaber aldrig har fulgt op på denne praksis. Det har været en ad hoc-løsning, og sådanne løsninger har en slem tendens til ikke at blive vedligeholdt.«

Umiddelbart vurderer Christian Panton dog ikke, at sagen om numrene kan bruges som generel indikation for datasikkerheden i telebranchen.

»Jeg tror ikke, at sagen siger meget om det generelle niveau, da der er væsentlig forskel på opmærksomheden på løsninger, der kigges på dagligt, og løsninger, der har ligget og samlet støv i hjørnet de sidste 5-10 år. På den anden side er min erfaring desværre ret dårlig, når man forsøger at rejse den slags spørgsmål hos teleselskaberne. Jeg har oplevelsen af, at der ikke er nogen, som sidder med ansvaret for privatlivsbeskyttelsen, og derfor er det utrolig svært for dem at håndtere henvendelserne.«

Erhvervsstyrelsen, der er den ansvarlige myndighed på teleområdet, har tidligere oplyst, at myndigheden er ved at undersøge sagen om den automatiske medsendelse af mobilnumre.

Læs også: Erhvervsstyrelsen undersøger teleselskabers nummerpraksis nærmere

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (14)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Erik Jensen

hvordan folk generelt kan have en så stor ligegyldighed overfor hvem der logger,overvåger, har adgang til deres personlige data når man gang på gang ser at der bliver sjoflet med sikkerheden.
Det vanlige mantra for idioten er "jeg har ikke gjort noget, så jeg har ikke noget at skjule". Det kan vel kun gælde for folk der vitterligt sider limet til sofaen derhjemme med hænderne limet fast under balderne.
Jeg formoder det er fordi de ikke kan fatte hvordan deres oplysninger kan misbruges eller har fantasi/indsigt til at forstå at meget få firmaer opfører sig korrekt efter foreskrifterne når de håndterer deres data.

Personligt har jeg mest den holdning at jo mindre de ved, jo mindre kan de ødelægge.

Mogens Ritsholm

Det er ikke nogen undskyldning, at det er en gammel praksis eller at det nok ikke er blevet misbrugt.

Man kan forestille sig, at numre er stillet til rådighed i forbindelse med afstemninger eller overtakserede ydelser.

Til dette brug - og kun til dette - er videreleveringen formentlig ok, da det er en del af den telefonitjeneste, som nummeret er tildelt til.

Men det skal sikres, at numrene ikke kan anvendes til andre formål - især ved outsourcing af registreringen.

Og så må numrene heller ikke bruges internt til andre formål. TDC-play er f.eks. en tillægsydelse, der intet har med teleydelsen at gøre.

Banker må jo heller ikke uden dit tilsagn videregive dine personlige oplysninger til andre formål end bankdriften.

Så selv om misbrug ikke kan bevises, er det moralsk en kedelig sag, at teleselskaberne har været så letfærdige med noget helt fundamentalt.

Mogens Ritsholm

Videregivelse af "hemmelige" numre er på linje med aflytning. Og det er et strafbart brud på teleloven, jf dennes § 7:

§ 7. Ejere af elektroniske kommunikationsnet og udbydere af elektroniske kommunikationsnet eller -tjenester og deres ansatte og tidligere ansatte må ikke uberettiget videregive eller udnytte oplysninger om andres brug af nettet eller tjenesten eller indholdet heraf, som de får kendskab til i forbindelse med det pågældende udbud af elektroniske kommunikationsnet eller -tjenester. De nævnte ejere og udbydere skal træffe de foranstaltninger, der er nødvendige for at sikre, at oplysninger om andres brug af nettet eller tjenesten eller indholdet heraf ikke er tilgængelige for uvedkommende.

Stk. 2. Bestemmelserne i straffelovens §§ 152, 152 a og 152 d-152 f finder tilsvarende anvendelse for den, der virker eller har virket hos en ejer af elektroniske kommunikationsnet eller en udbyder af elektroniske kommunikationsnet eller -tjenester, eller som i øvrigt er eller har været beskæftiget med opgaver, der udføres efter aftale med disse.

Finn Christensen

Men sådan ude i resten af Danmark virker det ikke som om det er noget der bekymrer den generelle befolkning.

Selv det massive hack i politiets registrer hos CSC gav kun lidt krusninger, og Rigsrevisionens udmeldinger skvulper også kun i nogle få dage - trist ..http://www.version2.dk/artikel/it-sikkerheden-hos-8-statslige-myndighede...

Men når befolkningen generelt kun fokuserer på varianter af iDum godtkøbskram uden at fatte konsekvenser, så er det jo forudsigeligt, at både regering og folketingets medlemmer snorker, samt administration og tilsyn med sindsro lader stå til.

Vores just (ikke overståede) finanskrise fortalte ellers at regelsæt, samt Finanstilsynet, kontrollen med banker m.fl. ikke duede til formålet.. der bliver stadig ryddet op nu på det 9'de år. Man lærte desværre ikke spor om kontrol og kontrol og kontrol af dette virkelighedscheck - lavet af og med it-maskineri.

Stat og kommune tror stadig på, at Vorherre passer det der underlige datasikkerhed - de opgaver, som de får deres løn for og at samme Vorherre har sikret brugernes data. Mennesket tager sig først sammen, 'når lokummet virkelig brænder'.

Så den kloge lukker portene derhjemme, og vente blot på at en godt ormædt dataskude springer læk.

Ken Poulsen

Man får en cookie advarsel på sider for noget man ved der er der og som man selv er herre over.
Men intet om at ens private oplysninger bliver sendt rundt i headeren.
Vi trænger da til en ny popup...

Jan Gundtofte-Bruun

Jeg tror du kom til at kalde en spade for en spade. Måske har nogen anmeldt dit indlæg, og redaktionen har fjernet det (i givet fald burde de i stedet have redigeret/censureret det).

Det er galt nok med at den journalistiske kvalitet er dalende og at der til tider er fæle flame wars blandt debattørerne -- men når enkelte indlæg bliver slettet uden kommentar tyder det ikke godt for mediets redaktionelle linje!

Daniel Bergsagel Journalist

Kære Silas

Dit indlæg blev slettet fordi det var off topic. Vi forsøger at holde en forholdsvis "ren" debat. Din kommentar refererer til vores journalists formulering, der ikke er forkert, i stedet for til substansen i artiklen.

Sagen har først og sidst at gøre med mange borgeres private telefonnumre. Vi forsøger at dække sagen så så mange som muligt kan følge med.

Jeg beklager, at du ikke fik dette svar i forbindelse med at din kommentar blev pillet af og vil forsøge at finde ud af, hvorfor det glippede.

Mvh
Daniel Bergsagel

Jesper Nielsen

To tilbagestående svar på indlægget og en sen forklaring, og nu mit indlæg, er derimod med til at holde debatten ren?

Det er virkeligt forstyrende når der kan læses svar på fjernede indlæg, og når det så tilsyneladende kun drejer sig om censur fordi indlægget var lidt vedsiden af emnet, så er det langt fra en optimal løsning bare at fjerne indlæg!

Log ind eller Opret konto for at kommentere