Mobilsurf: Danske teleselskaber sender dit telefonnummer til hjemmesider

Surfer du forbi en hjemmeside fra en mobiltelefon, kan det ske, at telefonens nummer automatisk bliver sendt til siden.

Når du bevæger dig ind på en hjemmeside fra en mobiltelefon, kan det være, du efterlader langt mere end din IP-adresse.

Internetaktivist og datalog Christian Panton har fundet frem til, at danske teleoperatører sender mobilens telefonnummer til visse samarbejdspartnere via HTTP-headers. Header-feltet med mobilnummeret bliver automatisk sendt fra telefonen, når brugeren tilgår specifikke url’er, og hvis teleoperatøren understøtter det.

»Det største problem er, at brugeren ikke ved, hvilke hjemmesider der er på deres liste over samarbejdspartnere, og at der ikke er en mulighed for at frabede sig den praksis. Jeg har gennemlæst diverse mobiloperatørers vilkår, og de har aldrig gjort opmærksom på, at de videregiver, hvad jeg anser som personlige informationer,« skriver Christian Panton i en mail til Version2.

Han peger i den forbindelse på, at Version2 tidligere har berørt emnet. Det var i en historie fra 2012. Dengang fortalte TDC, at teleselskabet sender kunders mobilnumre til visse hjemmesider, uden at det dog kom frem, hvordan numrene bliver sendt.

Læs også: Websider kan få dit mobilnummer, når du browser på telefonen

Inspireret af en aktuel sag fra USA, hvor det er kommet frem, at internetudbyderen Verizon identificerer brugere ved at indsætte et unikt identifikationsnummer i HTTP-headeren, satte Christian Panton sig for at se, om det var en lignende måde, mobilnumre bliver sendt af nogle danske teleoperatører til udvalgte hjemmesider. Og det er det.

Læs også: Amr. internetudbyder lancerer “super-cookie”, der ikke kan blokeres

Panton har lavet en test, som andre i skrivende stund også kan prøve, der viser, hvordan et mobilnummer bliver sendt til et header-felt. Demonstrationen har rejst nogen debat på blandt andet Twitter. Emil Stahl, som har tippet Version2 om den aktuelle debat, gennemgår flere detaljer i sagen her.

TDC sammenlignede i Version2's historie fra 2012 funktionen med at sende et telefonnummer til en hjemmeside med, at IP-adressen jo også bliver sendt til en hjemmeside. Den sammenligning giver Christian Panton ikke meget for:

»Det er et brud på den sociale kontrakt, vi normalt har, når vi bruger internettet. Vi forventer ikke at blive identificeret med navn og telefonnummer, derimod har vi en forventning om, at dette er oplysninger, vi selv deler ud, hvis nødvendigt,« skriver han fortsætter:

»I dag kan man ikke bare sådan lige få oplyst, hvem der benytter sig af en IP-adresse. Men det er forholdsvis nemt at søge på et telefonnummer på nummeroplysningen eller via Facebook.«

Version2 har taget Pantons header-test med et abonnement hos Telenors datterselskab Bibob. Her bliver telefonnummeret også sendt via HTTP-headeren. Version2 har kontaktet både TDC og Telenor omkring praksissen med at sende kunders telefonnumre til visse tjenester.

Teleindustrien: Nødvendigt at bruge telefonnummer

TDC er ikke vendt tilbage, og Telenor henviser til Jakob Willer, direktør i teleselskabernes branchesamarbejde, Teleindustrien, for en fælles udtalelse på vegne af branchen.

Jakob Willer har svaret i en mail, blandt andet på spørgsmålet om, hvorfor nogle teleselskaber sender mobilnumre over HTTP til visse hjemmesider:

»Teleselskaberne videregiver ikke numre. Det er dog nødvendigt at bruge telefonnummer som identifikation i forbindelse med styring af visse personificerede mobiltjenester, som en partner udfører under krav om fortrolighed. Mobilnumrene bruges på få betroede partneres hjemmesider som identifikation i forbindelse med fx betaling, hvor det er nødvendigt. Det kan fx være mobilspil, som skal betales via mobilregningen, hvor det gør teleselskaberne i stand til at sikre, at det er den rigtige regning, købene faktureres på.«

Hvilke selskaber sender mobilnumre med HTTP-headeren?

»Jeg har kendskab til, at flere selskaber bruger denne løsning. De bruger mobilnummeret som identifikationsmiddel på et fåtal af betroede samarbejdspartneres hjemmesider.«

Hvilke partnere modtager mobilnumre med HTTP-headeren?

»Så vidt jeg er orienteret, er der tale om et fåtal af betroede samarbejdspartnere, hvor mobilnumre bruges som identifikation. Det er fx, når en vare skal betales via mobilregningen, at det er nødvendigt,« skriver Jakob Willer.

Her bliver det brugt

Unwire, der blandt andet laver mobile betalingstjenester, er et af de selskaber, der har en aftale med teleoperatørerne, som betyder, at Unwire i visse tilfælde gør brug af telefonnumre, sendt via HTTP-headeren. Jens Johan Schwarzer, Vice President for strategi i Unwire, fortæller, at virksomheden kalder funktionaliteten a-nummer forwarding.

»Vi bruger a-nummer forwarding i nogle af vores tjenester som en ekstra sikkerhed i forbindelse med login. Vi bruger det primært, så vi kan sende en engangskode ud til brugerens telefon via sms uden først at skulle bede brugeren om at indtaste et telefonnummer,« siger han.

Derudover anvender Unwire tjenesten på enkelte sites til at anmode brugeren om at godkende køb ved at sende en sms, fortæller Jens Johan Schwarzer.

»Teleselskabet kigger på det domæne, der bliver tilgået. Og hvis det er på deres whiteliste, så tilføjer de selv headeren med telefonnummeret, inden forespørgslen rammer domænet,« siger Jens Johan Schwarzer.

Han fortæller, at Unwire gemmer kundens telefonnummer de steder, hvor tjenesten bliver brugt til sende sms'er til slutbrugeren. Det er ifølge Jens Johan Schwarzer nødvendigt, for at Unwire kan afregne med virksomhedens kunder og teleselskaberne.

I kølvandet på Christian Pantons header-test, der har rejst nogen debat på blandt andet Twitter, fortæller Jakob Willer, at han i branchen 'vil tage initiativ til hurtigt at få en drøftelse af dette setup'.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk

Kommentarer (54)

Thomas Jensen

Mobilnumrene bruges på få betroede partneres hjemmesider som identifikation i forbindelse med fx betaling, hvor det er nødvendigt. Det kan fx være mobilspil, som skal betales via mobilregningen, hvor det gør teleselskaberne i stand til at sikre, at det er den rigtige regning, købene faktureres på.

Fedt! Så skal man bare installere https://addons.mozilla.org/da/firefox/addon/modify-headers, og så kan man selv vælge hvem der skal bonnes?

Thomas Bundgaard

Gad vide hvilken PR-ansat der har fundet på "fåtal af betroede samarbejdspartnere" og bedt ham om at holde fast i det udtryk?

Michael Svendsen

Vi bruger det primært, så vi kan sende en en engangskode ud til brugerens telefon via sms uden først at skulle bede brugeren om at indtaste et telefonnummer

Man kan jo også lige så godt smide fulde navn, adresse, kortnr, udløbsdato, CVC-nummer, osv. med i headeren. Det gør det hele nærmere, og så er "samarbejdspartnerne" jo fri for at spørge overhovedet! :)

I øvrigt er det vel spam hvis en virksomhed sender sms'er uden accept - også selvom det er en "uskyldig" engangskode de sender.

Christian Nobel

Dvs. at teleselskaberne laver DPI, for det er da vel den eneste måde de kan ændre i headeren undervejs mellem klient og server?

Der er fuldstændigt uacceptabelt, og man kunne også have en mistanke det er en måde de vil kunne bruge til at styre "services".

Ros til Emil og Christian for at få dette frem.

Christian Nobel

Og med noget snilde burde man vel kunne gå en omvej til hjemmesiden, så udbyderens header forsvinder.

Der er vel ikke andet at gøre end at sætte en proxy op på en fast forbindelse, og så lade denne ændre headeren igen - man kunne så i tillæg sætte en giftig kommentar ind samtidig med man stripper telefonnummeret, hver gang man fandt en af teleselskabet ændret header.

Filip Larsen

Man burde kunne slippe for det ved at forbinde via HTTPS, hvis ellers det pågældende website understøtter det, hvilket de sandelig burde hvis der er tale om "website med betaling" eller hvad TDC nu kalder det.

Det er klart, at dette kræver en handlig fra brugeren, enten ved at man skriver https i stedet for http i sin URL eller bogmærke, eller, hvis browseren supporter det og man aldrig har brug for http til det pågældende website, ved at man indsætter addressen som en HSTS vært.

Mikkel Bruun

Jeg har lige lavet en IOS POC der afslører brugerens mobilnummer

På iOS kan man ikke få adgang til telefonens nummer, men ved hjælp af Telenor og unwire.dk er dette problem løst, og man kan nu høste mobilnumre i det skjulte...

Tak!

Christian Nobel

https://yousee.dk/mobil

Ahh, kejserens ny skæg - hvorfor skulle TDC opføre sig anderledes når de sælger et TDC abonnement under navnet YouSee.

Altså vi taler om YouSee mobil (100% TDC under andet navn), men ikke YouSee som internet over kabeltv.

Leif Neland

Man kan også teste med denne side (på telefonens dataforbindelse) http://portal.unwire.dk/UMP/editordraft/Egmont/Olivia/mitolivia.pml (Telia sender for eksempel ikke nummeret med, ved Host metoden)

Går jeg på nettet fra PC'en og 4G-routeren med Telia-sim i, viser ovennævnte side routerens "telefonnummer".

Så jeg skal så logge på routeren for at se sms'er?

PS: Telia er så venlige at sende en SMS, hvis man er ved at nå forbrugsgrænsen.
Det er dog ikke så anvendeligt, når de sender SMS'en til routeren, og telia kan ikke overtales tl at sende sms'en til en anden telefon, der bliver læst af et menneske, eller sende en email i stedet.

Mads Madsen

Virker denne identifikation også hvis man tilgår internettet via vpn?

Kan ikke sætte fingeren på hvorfor, men har altid følt det var usundt med det sammenfald mellem ISP og udbyder af mobile ydelser.

Er der egentligt en grund til at diverse teleselskaber ikke kan lave en aftale med deres partnere om at kunderne skal logge ind med deres mobiltelefonnummer og en adgangskode?

Ken Poulsen

Spørgsmålet er om der er nogle services der bruger det som auth?
For var det ikke sådan TDC Play virkede (year 2007) på de gamle mobiltelefoner?

Thue Kristensen

Et forsøg værd, men jeg går ud fra, at den middleware, som beriger headeren med ekstra attributter, stripper hvad der måtte stå der i forvejen.

Hvis jeg fra mit nuværende fastnet sætter en header med dit telefonnummer, så er der jo ikke noget deep packet inspection som stripper det.

»Teleselskaberne videregiver ikke numre. Det er dog nødvendigt at bruge telefonnummer som identifikation i forbindelse med styring af visse personificerede mobiltjenester, som en partner udfører under krav om fortrolighed. Mobilnumrene bruges på få betroede partneres hjemmesider som identifikation i forbindelse med fx betaling, hvor det er nødvendigt. Det kan fx være mobilspil, som skal betales via mobilregningen, hvor det gør teleselskaberne i stand til at sikre, at det er den rigtige regning, købene faktureres på.«

Jeg synes mere det lyder som om det bruges til authentifikation.

Thue Kristensen

pred fra reddit har en god pointe: https://pay.reddit.com/r/Denmark/comments/2kjz96/tdc_med_flere_sladrer_o...

Det ser sådan ud. Det "nye" i det -- hvis man kan snakke om det -- ligger i, hvordan det gøres i praksis. Mine app-udvikler-kontakter fortæller mig, at det generelt er vanskeligt at finde telefonnummeret på en telefon med den adgang, man som udgangspunkt kan få via apps, men med "hullet" her bliver det næsten trivielt at hive den information ud på en meget stor andel af de danske mobilbrugere.

Emil Stahl

I følge min test sender Telenor ikke længere nummeret med i header metoden i følge min test. Gør på Olivia.

Toke Eskildsen

Jeg har lige lavet en IOS POC der afslører brugerens mobilnummer

I går sad vi to stykker og puslede med om man kunne lave høstning gennem en webside ved at lave et AJAX-kald med modificerede headers. Vi lærte at man ikke får lov til at modificere Host i hverken XMLHttpRequest eller WebSockets. Der er selvfølgelig stadig mulighed for at der er browsere med huller i sikkerheden i de dele, men som udgangspunkt skal der heldigvis mere til end bare at surfe rundt.

Jesper Matthiesen

Artiklen siger, at headeren bliver indsat på telefonen, men antyder til sidst, at det er hos teleselskabet, det sker.. Forudsat, det er det sidste, der rent faktisk er tilfældet, hvordan kan i så se headeren på klienten (telefonen) ? Returnerer serveren de headers, den modtager, eller hur?

Sune Marcher

Forudsat, det er det sidste, der rent faktisk er tilfældet, hvordan kan i så se headeren på klienten (telefonen) ? Returnerer serveren de headers, den modtager, eller hur?


Vel ved at sende forespørgslen til ens egen server, der dumper HTTP headers - teleudbyderne kigger nok på HTTP Host headeren, og ikke IP, for at identificere "de betroede samarbejdspartnere"?

Martin Nielsen

Når telebranchen udtaler at det er nødvendigt at bruge disse headers, hvad gør de så I disse WiFi-tider?

Jeg er endnu ikke blevet ramt af at skulle indtaste mit mobilnummer manuelt, blot fordi jeg var på WiFi da jeg foretog et SMS-køb.

Jeg er klar over at det er muligt at benytte MMS, som gennemtvinger brug af mobilens dataforbindelse. Men dette er kun understøttet af ældre mobiltelefoner og eksempelvis ikke iPhone. Jeg er i tvivl om det fortsat er understøttet af Android.

Jesper Lund

»Teleselskaberne videregiver ikke numre. Det er dog nødvendigt at bruge telefonnummer som identifikation i forbindelse med styring af visse personificerede mobiltjenester, som en partner udfører under krav om fortrolighed. Mobilnumrene bruges på få betroede partneres hjemmesider som identifikation i forbindelse med fx betaling, hvor det er nødvendigt. Det kan fx være mobilspil, som skal betales via mobilregningen, hvor det gør teleselskaberne i stand til at sikre, at det er den rigtige regning, købene faktureres på.«

Denne forklaring fra Teleindustrien er ikke særligt overbevisende.

Til at starte med må det være soleklart, at teleselskaberne videregiver telefonnumre. Nummeret kommer fra teleselskabet, som stempler det ind i en HTTP header, eller på anden måde overfører nummeret til visse "betroede" tredjeparter.

Forklaringen om at det er "nødvendigt" synes heller ikke at være specielt overbevisende. For det første må det stadig kræve en specifik aftale med kunden (samtykke), og for det andet er videregivelsen af telefonnummeret ikke begrænset til de tilfælde, hvor modtageren har "brug" for nummeret, for eksempel til betaling af indholdstakserede tjenester.

Telenor har på Twitter henvist til punkt 11(k) i deres kundeaftale,
https://twitter.com/emilstahl/status/527842598913052673
http://www.telenor.dk/Images/Telenor_Privatvilkaar_1014_V24_634.005_tcm6...
hvor der står at Telenor kan overføre nummeret til leverandøren af den indholdstakserede tjeneste.

Men det må naturligvis forudsætte at kunden rent faktisk har en aftale med Telenor om at indholdstakserede tjenester skal betales via mobilregningen.

Ikke alle kunder har dette (jeg har personligt fravalgt det af sikkerhedshensyn), og Telenor overfører også nummeret for de kunder som grundet manglende aftaler derom ikke kan betale for indhold via deres mobilregning.

De danske teleselskaber har brug for at stramme op på deres behandling af persondata!

Peter Hansen

Man kan også teste med denne side (på telefonens dataforbindelse) http://portal.unwire.dk/UMP/editordraft/Egmont/Olivia/mitolivia.pml (Telia sender for eksempel ikke nummeret med, ved Host metoden)


Hvad skal man gøre for at teste her? Jeg får blot denne fejlmeddelelse når jeg klikker på linket uanset om det er via WiFi eller dataforbindelse:

HTTP Status 404 - No portal found for the requested URL

Log ind eller opret en konto for at skrive kommentarer

Pressemeddelelser

Big Data Lake Summit: Fast and Trusted Insights

If you want to outpace, outsmart and outperform your competition in a digital world, you need trusted data that can be turned into actionable business insights at speed.
24. apr 2017

Welcome to Free course to learn about the combined power of Alteryx and Qlik!

Affecto invites to a free course, where we want to share our knowledge of this self-service analysis platform together with the power of Qlik.
20. apr 2017

Robotics Process Automation (RPA) changes the way organizations think about and perform work at a reduced cost, higher efficiency and greater productivity

Join us for this exiting seminar, which Affecto hosts with our business partner SmartRPA May 3rd, 2017 at 13.00 in Copenhagen.
30. mar 2017