Teleselskab afsløret: Websider fik automatisk oplyst telefonnummer på besøgende

27. januar 2012 kl. 12:398
Det britiske teleselskab O2 er blevet afsløret i at sende kundernes telefonnummer videre til webside-ejerne, når de browsede fra mobilen. Ved en fejl skete det for alle websider i to uger.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Har din hjemmeside haft besøg af kunder hos teleselskabet O2 de seneste to uger, vil du kunne finde deres telefonnummer i din log.

I hvert fald hvis disse englændere brugte deres mobiltelefon til at browse med. For siden 10. januar har O2 ved en fejl sendt telefonnummer med i de header-data, der bliver sendt fra browseren til websiden, man besøger.

Normalt vil det være oplysninger om styresystem, skærmopløsning, skrifttyper og lignende, som en webside får tilsendt ved et besøg. Det gør det muligt at tilpasse præsentationen af indholdet på siden, for eksempel ved at servere en mobilversion.

Men da en brite sad og arbejdede med netop header-data på sin webside, opdagede han, at der også var registreret telefonnumre på nogle af sidens besøgende. Det skriver avisen The Guardian.

Artiklen fortsætter efter annoncen

Efterfølgende har O2 indrømmet, at der var sket en fejl, så muligheden for at sende kundernes telefonnummer med som header-data blev slået til som standard. Fejlen blev rettet onsdag i denne uge.

Men at der overhovedet var mulighed for at udlevere telefonnumre, var nyt for de fleste, og sagen er nu meldt til det britiske datatilsyn, der dog endnu ikke har taget stilling til, om loven er blevet brudt.

Muligheden for at sende en kundes telefonnummer til hjemmesider, han besøger fra sin telefon, bliver ifølge O2 brugt til udvalgte sider, hvor der er brug for at kunne verificere den besøgendes alder.

Sikkerhedskonsulent Graham Cluley fra firmaet Sophos er dog ikke imponeret over, at O2 har holdt denne funktion skjult for brugerne.

Artiklen fortsætter efter annoncen

»Hvorfor kan jeg ikke selv bestemme, om en webside må se mit telefonnummer? Hvis jeg ikke er enig, kan de jo bare lade være med at give mig adgang,« siger han til The Guardian.

O2 er Storbritanniens næststørste teleselskab med omkring 30 millioner kunder.

8 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
8
28. januar 2012 kl. 14:54

Dette er en feature, ikke en bug. Fejlen ligger i at O2 har videresendt mobilnummeret til lidt for mange websites.

http://blog.o2.co.uk/home/2012/01/o2-mobile-numbers-and-web-browsing.html

Every time you browse a website (via mobile or desktop), certain technical information about the machine you are using, is passed to website owners. This happens across the internet, and enables website owners to optimise the site you see. When you browse from an O2 mobile, we add the user's mobile number to this technical information, but only with certain trusted partners. This is standard industry practice. We share mobile numbers with selected trusted partners for 3 reasons: 1) to manage age verification, which manages access to adult content, 2) to enable third party content partners to bill for premium content such as downloads or ring tones that the customer has purchased 3) to identify customers using O2 services, such as My O2 and Priority Moments. This only happens over 3G and WAP data services, not Wifi.

Eller sagt med andre ord: det foregår stadigvæk, men nu sender O2 kun mobilnummeret til "trusted partners", som ikke render til The Guardian med deres afsløringer af privacy krænkelser.

Det er naturligvis ikke abonnenten (kunden) som bestemmer hvem der er "trusted partner" (har vi ikke hørt den før?).

Hvis det virkelig er "standard industry practice" at proxy servere skal modificere GET headere og videresende mobilnumre uden mit samtykke, vil jeg fremover holde mig langt væk fra mobiltelefoner med internet medmindre der bruges HTTPS, eller endnu bedre at alt internettrafik sendes krypteret via SSH tunnel el.lign. til en proxy server som jeg selv stoler på (læs: en server som jeg selv administrerer).

3
28. januar 2012 kl. 13:38

Vil det så ikke være muligt for alle, at medsende en header, der udgiver sig for at komme fra et valgfrit telefonnummer? Og hvis det er muligt, hvad bliver det så brugt til?

4
28. januar 2012 kl. 14:06

Vil det så ikke være muligt for alle, at medsende en header, der udgiver sig for at komme fra et valgfrit telefonnummer? Og hvis det er muligt, hvad bliver det så brugt til?

Ifølge artiklen bliver det brugt til aldersverifikation, hvilket må forudsætte at der sker opslag i databaser somewhere. Telefonnummeret som sådan siger jo ikke noget om alder.

Selvfølgelig kan en HTTP GET header nemt spoofes (f.eks. hvis referer bruges til at give adgang til indhold), men det er noget nemmere på en computer end på en lukket mobiltelefon.

5
28. januar 2012 kl. 14:14

Selvfølgelig kan en HTTP GET header nemt spoofes (f.eks. hvis referer bruges til at give adgang til indhold), men det er noget nemmere på en computer end på en lukket mobiltelefon.

Det er ikke klienten som indsætter denne header hos O2. Det er en proxy server som modificerer GET header fra browser klienten

http://lew.io/headers.php

To answer some questions and responses I've seen - no, it's not anything client-side. O2 seem to be transparently proxying HTTP traffic and inserting this header.

Godt argument for at bruge HTTPS. Så ser din ISP ikke GET header, medmindre de laver virkelig grimme ting (Iran-like stuff).

2
27. januar 2012 kl. 13:53

Dette må betyde at der er en log hos teleselskabet, som ikke bare logger trafikmængden, men også indeholder telefonnummer + indhold.

Gratis smagsprøve af O2. Nu ventes der så bare på at nogen finder noget at bruge sammenkædningen til. Så kan data sælges....

K

  • Sarkasme er tilsat, hvis du syn's..
1
27. januar 2012 kl. 13:38

I Danmark anvendes samme funktion bl.a. i traditionelle browser-baserede mobilbank-løsninger fra netbank-systemudbyderen SDC (før separate apps blev udbredte/mulige). Hvordan danske teleselskaber sikrer sig, at nummeret kun videregives når relevant, ved jeg ikke.

7
28. januar 2012 kl. 14:28

I Danmark anvendes samme funktion bl.a. i traditionelle browser-baserede mobilbank-løsninger fra netbank-systemudbyderen SDC (før separate apps blev udbredte/mulige).
Hvordan danske teleselskaber sikrer sig, at nummeret kun videregives når relevant, ved jeg ikke.

Det er næsten endnu mere spooky end O2 sagen. O2 videregiver mobilnummeret ved at deres HTTP proxy server modificerer din GET header. Men det kan en proxy server ikke ved HTTPS (som en netbank må formodes at bruge), medmindre den bryder ind i TLS forbindelsen hvilket igen kræver forfalskede certifikater (som din browser stoler på, typisk ved at der er indsat en falsk CA).