Mobilsurf: Danske teleselskaber sender dit telefonnummer til hjemmesider

53 kommentarer.  Hop til debatten
Surfer du forbi en hjemmeside fra en mobiltelefon, kan det ske, at telefonens nummer automatisk bliver sendt til siden.
30. oktober 2014 kl. 06:29
errorÆldre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Når du bevæger dig ind på en hjemmeside fra en mobiltelefon, kan det være, du efterlader langt mere end din IP-adresse.

Internetaktivist og datalog Christian Panton har fundet frem til, at danske teleoperatører sender mobilens telefonnummer til visse samarbejdspartnere via HTTP-headers. Header-feltet med mobilnummeret bliver automatisk sendt fra telefonen, når brugeren tilgår specifikke url’er, og hvis teleoperatøren understøtter det.

»Det største problem er, at brugeren ikke ved, hvilke hjemmesider der er på deres liste over samarbejdspartnere, og at der ikke er en mulighed for at frabede sig den praksis. Jeg har gennemlæst diverse mobiloperatørers vilkår, og de har aldrig gjort opmærksom på, at de videregiver, hvad jeg anser som personlige informationer,« skriver Christian Panton i en mail til Version2.

Han peger i den forbindelse på, at Version2 tidligere har berørt emnet. Det var i en historie fra 2012. Dengang fortalte TDC, at teleselskabet sender kunders mobilnumre til visse hjemmesider, uden at det dog kom frem, hvordan numrene bliver sendt.

Artiklen fortsætter efter annoncen

Inspireret af en aktuel sag fra USA, hvor det er kommet frem, at internetudbyderen Verizon identificerer brugere ved at indsætte et unikt identifikationsnummer i HTTP-headeren, satte Christian Panton sig for at se, om det var en lignende måde, mobilnumre bliver sendt af nogle danske teleoperatører til udvalgte hjemmesider. Og det er det.

Panton har lavet en test, som andre i skrivende stund også kan prøve, der viser, hvordan et mobilnummer bliver sendt til et header-felt. Demonstrationen har rejst nogen debat på blandt andet Twitter. Emil Stahl, som har tippet Version2 om den aktuelle debat, gennemgår flere detaljer i sagen her.

TDC sammenlignede i Version2's historie fra 2012 funktionen med at sende et telefonnummer til en hjemmeside med, at IP-adressen jo også bliver sendt til en hjemmeside. Den sammenligning giver Christian Panton ikke meget for:

»Det er et brud på den sociale kontrakt, vi normalt har, når vi bruger internettet. Vi forventer ikke at blive identificeret med navn og telefonnummer, derimod har vi en forventning om, at dette er oplysninger, vi selv deler ud, hvis nødvendigt,« skriver han fortsætter:

»I dag kan man ikke bare sådan lige få oplyst, hvem der benytter sig af en IP-adresse. Men det er forholdsvis nemt at søge på et telefonnummer på nummeroplysningen eller via Facebook.«

Version2 har taget Pantons header-test med et abonnement hos Telenors datterselskab Bibob. Her bliver telefonnummeret også sendt via HTTP-headeren. Version2 har kontaktet både TDC og Telenor omkring praksissen med at sende kunders telefonnumre til visse tjenester.

Teleindustrien: Nødvendigt at bruge telefonnummer

TDC er ikke vendt tilbage, og Telenor henviser til Jakob Willer, direktør i teleselskabernes branchesamarbejde, Teleindustrien, for en fælles udtalelse på vegne af branchen.

Jakob Willer har svaret i en mail, blandt andet på spørgsmålet om, hvorfor nogle teleselskaber sender mobilnumre over HTTP til visse hjemmesider:

»Teleselskaberne videregiver ikke numre. Det er dog nødvendigt at bruge telefonnummer som identifikation i forbindelse med styring af visse personificerede mobiltjenester, som en partner udfører under krav om fortrolighed. Mobilnumrene bruges på få betroede partneres hjemmesider som identifikation i forbindelse med fx betaling, hvor det er nødvendigt. Det kan fx være mobilspil, som skal betales via mobilregningen, hvor det gør teleselskaberne i stand til at sikre, at det er den rigtige regning, købene faktureres på.«

Hvilke selskaber sender mobilnumre med HTTP-headeren?

»Jeg har kendskab til, at flere selskaber bruger denne løsning. De bruger mobilnummeret som identifikationsmiddel på et fåtal af betroede samarbejdspartneres hjemmesider.«

Hvilke partnere modtager mobilnumre med HTTP-headeren?

»Så vidt jeg er orienteret, er der tale om et fåtal af betroede samarbejdspartnere, hvor mobilnumre bruges som identifikation. Det er fx, når en vare skal betales via mobilregningen, at det er nødvendigt,« skriver Jakob Willer.

Her bliver det brugt

Unwire, der blandt andet laver mobile betalingstjenester, er et af de selskaber, der har en aftale med teleoperatørerne, som betyder, at Unwire i visse tilfælde gør brug af telefonnumre, sendt via HTTP-headeren. Jens Johan Schwarzer, Vice President for strategi i Unwire, fortæller, at virksomheden kalder funktionaliteten a-nummer forwarding.

»Vi bruger a-nummer forwarding i nogle af vores tjenester som en ekstra sikkerhed i forbindelse med login. Vi bruger det primært, så vi kan sende en engangskode ud til brugerens telefon via sms uden først at skulle bede brugeren om at indtaste et telefonnummer,« siger han.

Derudover anvender Unwire tjenesten på enkelte sites til at anmode brugeren om at godkende køb ved at sende en sms, fortæller Jens Johan Schwarzer.

»Teleselskabet kigger på det domæne, der bliver tilgået. Og hvis det er på deres whiteliste, så tilføjer de selv headeren med telefonnummeret, inden forespørgslen rammer domænet,« siger Jens Johan Schwarzer.

Han fortæller, at Unwire gemmer kundens telefonnummer de steder, hvor tjenesten bliver brugt til sende sms'er til slutbrugeren. Det er ifølge Jens Johan Schwarzer nødvendigt, for at Unwire kan afregne med virksomhedens kunder og teleselskaberne.

I kølvandet på Christian Pantons header-test, der har rejst nogen debat på blandt andet Twitter, fortæller Jakob Willer, at han i branchen 'vil tage initiativ til hurtigt at få en drøftelse af dette setup'.

53 kommentarer.  Hop til debatten
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
53
31. oktober 2014 kl. 00:28

Jeg kan altså blot gå ind på krak og finde et tilfældigt nr og købe en masse på deres regning? Det er jo nemt nok at curl'e mig frem til

52
30. oktober 2014 kl. 16:47

»Teleselskaberne videregiver ikke numre. Det er dog nødvendigt at bruge telefonnummer som identifikation i forbindelse med styring af visse personificerede mobiltjenester, som en partner udfører under krav om fortrolighed. Mobilnumrene bruges på få betroede partneres hjemmesider som identifikation i forbindelse med fx betaling, hvor det er nødvendigt. Det kan fx være mobilspil, som skal betales via mobilregningen, hvor det gør teleselskaberne i stand til at sikre, at det er den rigtige regning, købene faktureres på.«

Denne forklaring fra Teleindustrien er ikke særligt overbevisende.

Til at starte med må det være soleklart, at teleselskaberne videregiver telefonnumre. Nummeret kommer fra teleselskabet, som stempler det ind i en HTTP header, eller på anden måde overfører nummeret til visse "betroede" tredjeparter.

Forklaringen om at det er "nødvendigt" synes heller ikke at være specielt overbevisende. For det første må det stadig kræve en specifik aftale med kunden (samtykke), og for det andet er videregivelsen af telefonnummeret ikke begrænset til de tilfælde, hvor modtageren har "brug" for nummeret, for eksempel til betaling af indholdstakserede tjenester.

Telenor har på Twitter henvist til punkt 11(k) i deres kundeaftale,https://twitter.com/emilstahl/status/527842598913052673http://www.telenor.dk/Images/Telenor_Privatvilkaar_1014_V24_634.005_tcm69-168885.pdfhvor der står at Telenor kan overføre nummeret til leverandøren af den indholdstakserede tjeneste.

Men det må naturligvis forudsætte at kunden rent faktisk har en aftale med Telenor om at indholdstakserede tjenester skal betales via mobilregningen.

Ikke alle kunder har dette (jeg har personligt fravalgt det af sikkerhedshensyn), og Telenor overfører også nummeret for de kunder som grundet manglende aftaler derom ikke kan betale for indhold via deres mobilregning.

De danske teleselskaber har brug for at stramme op på deres behandling af persondata!

51
30. oktober 2014 kl. 16:16

Når telebranchen udtaler at det er nødvendigt at bruge disse headers, hvad gør de så I disse WiFi-tider?

Jeg er endnu ikke blevet ramt af at skulle indtaste mit mobilnummer manuelt, blot fordi jeg var på WiFi da jeg foretog et SMS-køb.

Jeg er klar over at det er muligt at benytte MMS, som gennemtvinger brug af mobilens dataforbindelse. Men dette er kun understøttet af ældre mobiltelefoner og eksempelvis ikke iPhone. Jeg er i tvivl om det fortsat er understøttet af Android.

48
30. oktober 2014 kl. 14:28

Artiklen siger, at headeren bliver indsat på telefonen, men antyder til sidst, at det er hos teleselskabet, det sker.. Forudsat, det er det sidste, der rent faktisk er tilfældet, hvordan kan i så se headeren på klienten (telefonen) ? Returnerer serveren de headers, den modtager, eller hur?

46
30. oktober 2014 kl. 14:06

I følge min test sender Telenor ikke længere nummeret med i header metoden i følge min test. Gør på Olivia.

41
30. oktober 2014 kl. 12:30

pred fra reddit har en god pointe: https://pay.reddit.com/r/Denmark/comments/2kjz96/tdc_med_flere_sladrer_om_dit_mobiltelefonnummer/clm173b

Det ser sådan ud. Det "nye" i det -- hvis man kan snakke om det -- ligger i, hvordan det gøres i praksis. Mine app-udvikler-kontakter fortæller mig, at det generelt er vanskeligt at finde telefonnummeret på en telefon med den adgang, man som udgangspunkt kan få via apps, men med "hullet" her bliver det næsten trivielt at hive den information ud på en meget stor andel af de danske mobilbrugere.

39
30. oktober 2014 kl. 12:25

En DJØF-EU løsning vil nok blive, at du får en SMS som du skal besvare for at kunne surfe videre og dermed implicit acceptere at dit nummer sendes med.

38
30. oktober 2014 kl. 12:22

Spørgsmålet er om der er nogle services der bruger det som auth? For var det ikke sådan TDC Play virkede (year 2007) på de gamle mobiltelefoner?

37
30. oktober 2014 kl. 12:18

Virker denne identifikation også hvis man tilgår internettet via vpn?

Kan ikke sætte fingeren på hvorfor, men har altid følt det var usundt med det sammenfald mellem ISP og udbyder af mobile ydelser.

Er der egentligt en grund til at diverse teleselskaber ikke kan lave en aftale med deres partnere om at kunderne skal logge ind med deres mobiltelefonnummer og en adgangskode?

33
30. oktober 2014 kl. 11:03

Svineri. Skal stoppes!

21
30. oktober 2014 kl. 10:11

Jeg har lige lavet en IOS POC der afslører brugerens mobilnummer

På iOS kan man ikke få adgang til telefonens nummer, men ved hjælp af Telenor og unwire.dk er dette problem løst, og man kan nu høste mobilnumre i det skjulte...

Tak!

47
30. oktober 2014 kl. 14:21

Jeg har lige lavet en IOS POC der afslører brugerens mobilnummer

I går sad vi to stykker og puslede med om man kunne lave høstning gennem en webside ved at lave et AJAX-kald med modificerede headers. Vi lærte at man ikke får lov til at modificere Host i hverken XMLHttpRequest eller WebSockets. Der er selvfølgelig stadig mulighed for at der er browsere med huller i sikkerheden i de dele, men som udgangspunkt skal der heldigvis mere til end bare at surfe rundt.

20
30. oktober 2014 kl. 10:00

Man burde kunne slippe for det ved at forbinde via HTTPS, hvis ellers det pågældende website understøtter det, hvilket de sandelig burde hvis der er tale om "website med betaling" eller hvad TDC nu kalder det.

Det er klart, at dette kræver en handlig fra brugeren, enten ved at man skriver https i stedet for http i sin URL eller bogmærke, eller, hvis browseren supporter det og man aldrig har brug for http til det pågældende website, ved at man indsætter addressen som en HSTS vært.

16
30. oktober 2014 kl. 09:33

mens det her, der er 5000% større problem foregår ???

15
30. oktober 2014 kl. 09:32

kunne det tænkes at det er telefonen og ikke teleselskabet der til føjer den ekstra header?. Særligt når header'en hedder x-NOKIA-msidn...

11
30. oktober 2014 kl. 09:04

Dvs. at teleselskaberne laver DPI, for det er da vel den eneste måde de kan ændre i headeren undervejs mellem klient og server?

Der er fuldstændigt uacceptabelt, og man kunne også have en mistanke det er en måde de vil kunne bruge til at styre "services".

Ros til Emil og Christian for at få dette frem.

12
30. oktober 2014 kl. 09:16

Man kan vel efterhånden blot konstatere, at KAN det gøres, så bliver det gjort. Uanset hvad brugeren, grundloven og what so ever siger

8
30. oktober 2014 kl. 08:36

Man kan teste med følgende i terminalen (husk at være på din telefons dataforbindelse)curl -H "Host: portal.unwire.dk" <a href="http://headertest.panton.org">http://headertest.panton.org</a>

Man kan også teste med denne side (på telefonens dataforbindelse) http://portal.unwire.dk/UMP/editordraft/Egmont/Olivia/mitolivia.pml (Telia sender for eksempel ikke nummeret med, ved Host metoden)

34
30. oktober 2014 kl. 11:06

Man kan også teste med denne side (på telefonens dataforbindelse) <a href="http://portal.unwire.dk/UMP/editordraft/Egmont/Olivia/mitolivia.pml">ht…; (Telia sender for eksempel ikke nummeret med, ved Host metoden)

Går jeg på nettet fra PC'en og 4G-routeren med Telia-sim i, viser ovennævnte side routerens "telefonnummer".

Så jeg skal så logge på routeren for at se sms'er?

PS: Telia er så venlige at sende en SMS, hvis man er ved at nå forbrugsgrænsen. Det er dog ikke så anvendeligt, når de sender SMS'en til routeren, og telia kan ikke overtales tl at sende sms'en til en anden telefon, der bliver læst af et menneske, eller sende en email i stedet.

7
30. oktober 2014 kl. 08:31

Vi bruger det primært, så vi kan sende en en engangskode ud til brugerens telefon via sms uden først at skulle bede brugeren om at indtaste et telefonnummer

Man kan jo også lige så godt smide fulde navn, adresse, kortnr, udløbsdato, CVC-nummer, osv. med i headeren. Det gør det hele nærmere, og så er "samarbejdspartnerne" jo fri for at spørge overhovedet! :)

I øvrigt er det vel spam hvis en virksomhed sender sms'er uden accept - også selvom det er en "uskyldig" engangskode de sender.

22
30. oktober 2014 kl. 10:16

Videregiver de også hemmelige/udeladte telefonnumre?

Hvis svaret er ja (som det ser ud til) så er en klage til IT- og Telestyrelsen vel lige til højrebenet? Det er dem der så vidt jeg husker skal slå teleselskaberne i hovedet for ikke at overholde hemmeligt/udeladt nummer.

5
30. oktober 2014 kl. 08:27

Det gør de.

2
30. oktober 2014 kl. 07:36

Jeg har ikke selv testet det, men har hørt fra andre at de ikke renser for hemmeligt nummer.

3
30. oktober 2014 kl. 08:10

Mobilnumrene bruges på få betroede partneres hjemmesider som identifikation i forbindelse med fx betaling, hvor det er nødvendigt. Det kan fx være mobilspil, som skal betales via mobilregningen, hvor det gør teleselskaberne i stand til at sikre, at det er den rigtige regning, købene faktureres på.

Fedt! Så skal man bare installere https://addons.mozilla.org/da/firefox/addon/modify-headers, og så kan man selv vælge hvem der skal bonnes?

40
30. oktober 2014 kl. 12:27

Et forsøg værd, men jeg går ud fra, at den middleware, som beriger headeren med ekstra attributter, stripper hvad der måtte stå der i forvejen.

Hvis jeg fra mit nuværende fastnet sætter en header med dit telefonnummer, så er der jo ikke noget deep packet inspection som stripper det.

»Teleselskaberne videregiver ikke numre. Det er dog nødvendigt at bruge telefonnummer som identifikation i forbindelse med styring af visse personificerede mobiltjenester, som en partner udfører under krav om fortrolighed. Mobilnumrene bruges på få betroede partneres hjemmesider som identifikation i forbindelse med fx betaling, hvor det er nødvendigt. Det kan fx være mobilspil, som skal betales via mobilregningen, hvor det gør teleselskaberne i stand til at sikre, at det er den rigtige regning, købene faktureres på.«

Jeg synes mere det lyder som om det bruges til authentifikation.

14
30. oktober 2014 kl. 09:29

Det er vel blot at benytte det på en anden forbindelse end den mobile, så kommer der kun en header :)