Websider kan få dit mobilnummer, når du browser på telefonen
Vil du købe en billet til bus og tog via din mobil, kan du i hovedstadsområdet bruge hjemmesiden 1415.dk.
Og her kan du opleve, at hjemmesiden kender dit telefonnummer, selvom du ikke har gjort andet end at besøge siden fra browseren på din telefon.
Fænomenet kom i fokus i England, da teleselskabet O2 ved en fejl i januar havde slået funktionen til for alle hjemmesider i to uger, mens mobilnummeret normalt kun sendes til udvalgte websider, der har en aftale om det.
Og sådan fungerer det også i Danmark, bekræfter TDC.
»Vi betragter det som en hjælp til vores kunder, og vi har ikke oplevet problemer eller fået klager over det. Det bliver kun brugt, hvor en kunde ellers selv skulle indtaste sit nummer,« forklarer Rasmus Avnskjold, pressemedarbejder hos TDC, til Version2.
Hvis en webside har en tjeneste, hvor der indgår salg via mobilen, kan firmaet bag bede TDC og de andre teleselskaber om at få oplyst telefonnummeret på de besøgende. Og hvis TDC kan se meningen med det, og har tillid til firmaet, bliver der lavet en skriftlig aftale.
»Vi siger nej til langt de fleste, så det er kun ganske enkelte sider, hvor det er slået til. Det skal være en side, hvor man køber sms-produkter, for eksempel salg af mobilringetoner. Der skal være et formål med at gøre det,« siger Rasmus Avnskjold.
Kunder hos TDC bliver ikke advaret om, at deres telefonnummer kan blive sendt af sted til de hjemmesider, de besøger via mobilen, når de opretter et abonnement. For TDC mener ikke, at der er noget problem i at oplyse telefonnumre til de websider, der bliver godkendt.
»Det er jo ligesom, når du surfer fra en computer, og din IP-adresse bliver registreret. Her er det så bare dit telefonnummer,« siger Rasmus Avnskjold.
- emailE-mail
- linkKopier link
- Sortér efter chevron_right
- Trådet debat
Baldur har ganske ret i metoden. På nogle (ældre?) telefoner er det muligt at disable nummerdetekteringen ved at skifte internetadgangsprofil. På min gamle Nokia med TDC abonn. var detektering kun muligt via den adgangsprofil der hed noget med "WAP"/"SERVICES", hvorimod den der hed noget med "Internet" ikke overførte de headers fra operatøren der muliggør nummerdetektering på websites.
Jeg ved ikke hvordan det står til på nuværende tidspunkt, men for få år siden har TDC m.fl. været temmelig rundhåndede med deres tilladelser til automatisk nummerdetektering. Fra min egen mobil har jeg tidligere konstateret at mange større danske mobilsites havde denne feature slået til som standard, herunder m.dr.dk, m.tv2.dk, m.bt.dk og m.eb.dk (de har vist alle samme leverandør som 1415.dk). Jeg har ikke testet om det stadig er tilfældet, men blev noget forundret over det dengang.
- more_vert
- insert_linkKopier link
Jeg fik spærret for det efter jeg klagede over det hos min udbyder for et år siden. De kunne slet ikke forstå at det var et problem. Faktisk skulle jeg påvise at de havde en sikkerhedsfejl, som gjorde at alle hjemmesider kunne få oplyst tlf. nummer på besøgende.
Jeg fik dem overbevist om at blokere mit nummer, da jeg lavede et POC som sendte SMS til de besøgende på en test-hjemmeside.
- more_vert
- insert_linkKopier link
Det lyder helt vildt hvis det er noget ALLE websider har kunnet. Kan du gå lidt mere i detaljer med hvem udbyderen var og hvad sikkerhedshullet bestod i? - Hvis det har været sådan at alle websider har kunnet dette, så er det da en kæmpe skandale.
- more_vert
- insert_linkKopier link
Forsøgte at besøge 1415.dk fra min android telefon (har 3 som teleselskab). Jeg kan se at browseren blev sendt en tur forbi tre.se - sandsynligvis for at skaffe mit nr, som så blev vist på siden.
Personligt synes jeg det er rimelig krænkende...
PS: Har hemmeligt nr, det gør ingen forskel.
- more_vert
- insert_linkKopier link
Man kan bruge det her til at omgå READ_PHONE_STATE permission i Android.
Lav en app som forsøger at hente telefonnummer direkte via Android. Lidt a la dette:
Det vil fejle, hvis man ikke giver app'en ovenstående permission. Men i fejlhåndteringen laver man så bare et http request til 1415.dk (Apache HttpClient er på alle android devices), parser resultatet, grabber telefonnummeret, og præsenterer det: [...] return "Haha, I got it anyway: " + getPhoneNoFromHttpResponse();
Mon TDC & Co. havde forestillet sig at medvirke til den slags? :)
- more_vert
- insert_linkKopier link
Hvordan er det her implementeret? Beriger teleselskaberne request headeren med et telefonnummer, eller gør telefonernes browsere det selv? Det må næsten være førstnævnte, for ellers burde alle websites kunne fiske telefonnummeret ud af headeren, plus man burde kunne sniffe det med en analyzer. Det er da dybt problematisk, at teleselskaberne gør det her uden at give mulighed for at sige nej tak (bortset fra at vælge hemmeligt nummer). Jeg gætter på, at politikerne vil begynde at interessere sig for det inden længe.
Og så vil jeg mene, at den her slags stunts gør det endnu mere interessant at tilvælge hemmeligt nummer ...
- more_vert
- insert_linkKopier link
at få informationer Politiet formodentelig skal bruge en dommerkendelse for at få.
Nu pakker de deres læk af private data ind i brugerservice , hvad så når 1415 bliver solgt til et xyz site er det så også brugerservce at man kan se hvem der besøger sitet.
Hvordan kontroller TDC at data ikke bliver videre solgt
- more_vert
- insert_linkKopier link
En interessant pointe er, at alle apps på telefonen formentlig kan få fat i telefonnummeret hvis blot app'en har netadgang - den behøver blot at lave et request til 1415.dk og så ellers screen scrape nummeret.
Dermed kan denne "feature" altså benyttes til at omgås app sandbox'en på telefonen. På android har apps mig bekendt ikke adgang til brugerens telefonnummer med mindre brugeren har givet app'en den nødvendige permission.
- more_vert
- insert_linkKopier link
Ikke engang da. Telefonen ved ikke altid hvilket nummer den har (min gør f.eks ikke), hvilket giver den noget paradoksale situation, at en webside kan få flere oplysninger om din telefon end et program kan.På android har apps mig bekendt ikke adgang til brugerens telefonnummer med mindre brugeren har givet app'en den nødvendige permission.
- more_vert
- insert_linkKopier link
Lad pengepungen svare og skift til en anden udbyder.
Jeg har M1 og kan ikke se mit (hemmelige) nr i hverken IE eller Opera.
- more_vert
- insert_linkKopier link
I O2 sagen skete det ved at telefonnummeret blev indsat som et ekstra HTTP header felt via DPI. Er det samme metode som benyttes i Danmark?
- more_vert
- insert_linkKopier link
Der er forskellige metoder afhængig af teleselskab. Nogle har en liste af IP-adresser og domænenavne og så indsætter de ekstra oplysninger som HTTP headers for disse servere. Ikke nødvendigvis telefonnummeret, det kan også være en token som bagefter kan konverteres til et telefonnummer ved opslag i et SOAP API.
Hos andre skal man bruge et API til at få konverteret brugerens IP-adresse til et telefonnummer.
Alt det her er blevet til i forbindelse med salg af indholdstjenester til mobiltelefoner. Altså det som de fleste kender som at sende noget til et fire-cifret telefonnummer og så modtage et eller andet tilbage (ringetone f.eks.). Der findes en såkaldt brancheaftale som ret strengt regulerer hvad man må i den forbindelse.
Når du sender en SMS til en sådan tjeneste, så modtager de naturligvis også dit telefonnummer. Det overrasker ikke så mange for sådan fungerer SMS jo. Idag får man så ofte et link tilbage så man kan køre resten på en mobil webside (eller wap som det hed i gamle dage). Det er en fordel hvis serveren kan verificere brugerens identitet når der skal betales over telefonregningen.
- more_vert
- insert_linkKopier link
Det foregår typisk med et redirect via trejdepart, og pludselig bliver dit telefonnummer added til query-stringen. Jeg har ikke set nogle udbydere som tilføjer det via HTTP-headers.
- more_vert
- insert_linkKopier link
Er det DPI eller DNS spoofing som giver ISP'en adgang til din query string?
- more_vert
- insert_linkKopier link
Ingen DPI, DNS eller spoofing. Som det virker hos 3, redirecter man bare til http://mobil.tre.se/identitysession?url=http://din.return.url/ - den url laver en 301 redirect til http://din.return.url/?sometoken=ABCDEF
Hvad jeg fandt var at man kunne bruge en særlig return-url hos en tredjepart der decodede token til MSISDN (telefonnummer), så der var tale om en nested return-url, og jeg fik så msisdn via query string.
- more_vert
- insert_linkKopier link
Alle kan selv checke det ved at tether deres telefon og sætte deres user-agent til en smartphone. Så er det bare at checke trafikken i wireshark.
- more_vert
- insert_linkKopier link
Alle kan selv checke det ved at tether deres telefon og sætte deres user-agent til en smartphone. Så er det bare at checke trafikken i wireshark.
Det viser vel netop ikke andet end de umodificerede requests?
I de gamle WAP-dage var det i øvrigt også normalt, at man blev opkrævet penge for at bruge forskellige mobiltjenester (nummeropslag, etc.), og her var der tilsyneladende også adgang til nummeret.
- more_vert
- insert_linkKopier link
Virker også via Telia.
Men sjovt nok kun i Safari, ikke i Opera på en iPhone 4S.
- more_vert
- insert_linkKopier link
Mindes at Opera Mini på iPhone køre noget af trafikken via en proxy for at optimere billeder etc. Så det er nok derfor at de telefonnummer bliver sorteret fra.
- more_vert
- insert_linkKopier link
Mindes at Opera Mini på iPhone
Det gør Opera Mini på alle platforme, ikke kun på iPhone.
- more_vert
- insert_linkKopier link
Og vil høre om ikke du er interesseret i........
Vi har netop tilbud på hundefoder, specielt tilpasset til hunde som din, mellem xx og xx kg...... Køber du for over 500 kr, så får du gratis printerpapir til din KV vkx34r3......
På onsdag, når dine venner kommer til sammenskudsgilde, vil vi gøre opmærksom på, at der ikke er nogen der har husket vin. Vores samarbejdspartner tilbyder i denne måned .......
Som du sikkert har lagt mærke til, har du lige modtaget en reklame om... og vi har en fast særlig pris til dig, min ven, på lige netop.....
Log ind på vores site, og tilmeld din betaling med NemID, så klarer vi resten.... Du skal aldrig spekulere på mere....
- more_vert
- insert_linkKopier link
Jeg kan da godt love for at jeg håber de slår den omgang pis fra, det kan ikke være rigtigt at jeg ikke har noget valg i sagen, ingen hjemmesider skal finde ud af hvad mit mobilnummer er, under NOGEN omstændigheder, medmindre jeg eksplicit vælger at gøre det selv. Service? NÆPPE! Det handler kun om penge!
Gør det til et opt-in program, ikke et "no-opt-out" program. Fuldstændigt latterligt at de åbner op for vores privacy på denne måde, det må være ulovligt på så mange niveauer!
- more_vert
- insert_linkKopier link
Er der nogen mulighed for at få en liste over de sider der bliver udleveret oplysninger til ? Er det noget alle teleselskaber gør, eller er det bare typisk tdc ? Når jeg går ind på 1415.dk skal jeg da indtaste et nummer for at gå videre, jeg har 3. Er der nogen der har tdc der kan teste ?
- more_vert
- insert_linkKopier link
Når jeg går ind på 1415.dk skal jeg da indtaste et nummer for at gå videre, jeg har 3. Er der nogen der har tdc der kan teste ?
Jeg har TDC og bliver også bedt om at indtaste nummeret...
Hvis TDC mener det er så få sider de gør det her med, så kunne det jo også være interessant at der lå en liste på deres side med hvem de har aftaler med så deres brugere kan få det at vide inden de besøger sider...
- more_vert
- insert_linkKopier link
Jeg har BiBob (som bruger Telenors netværk), og de oplyser det tydeligvis. Jeg har aldrig været på 1415.dk før og mit nummer var der med det samme.
- more_vert
- insert_linkKopier link
- det kan sgu da ikke passe. Hvis det er, må det da ændres!
- more_vert
- insert_linkKopier link
Dit tlf. nummer står i telefon bogen. Det står på krak.dk. Det står på enrio.dk. det står i... det stå¤#¤%#¤"&
Skal jeg forstsætte? :)
- more_vert
- insert_linkKopier link
Har du hørt om hemmeligt nummer og udeladt nummer?
- more_vert
- insert_linkKopier link
Fortsætte med hvad? Er ikke klar over hvad din pointe er.
I ingen af de tilfælde du nævner, laver mobiloperatøren et automatisk opslag og oplyser hjemmesideejeren om hvilket mobilnummer, der er tilknyttet smartphonen du bruger.
Bare fordi man godt vil have at folk kan slå ens mobilnummer op på ens navn, er det sgu da ikke det samme som at man ønsker at hver. eneste. hjemmeside. man besøger, automatisk får ens mobilnummer (og derved ofte også navn og adresse), uden advarsel og uden samtykke.
Jeg synes det er et overgreb på ens privatliv og opt-out er aldrig nogensinde svaret på det.
Hvis det er noget man ønsker at benytte så af, så samarbejde med browser-producenterne. Tænker at hvis en hjemmeside ønsker at få oplyst ens mobilnummer, kan den via browser spørge om man ønsker at browseren oplyser dette til hjemmesiden. På samme måde som du skal give tilladelse i fx. Dolphin Browser på Android og Chrome på Windows, hvis websitet vil kende din fysiske placering.
- more_vert
- insert_linkKopier link
Hemmeligt nummer? Folk som ikke ønsker at optræde i telefonbogen? (du kan til en hver tid trække dit samtykke til videregivelse af personoplysninger til telefonbogen tilbage).
- more_vert
- insert_linkKopier link
Det vel er kun lovligt, hvis man ikke har valgt at have hemmeligt nummer (jo dem er der næppe mange af når vi taler om mobil ;-)
- more_vert
- insert_linkKopier link
Du siger noget. Mit nummer er unlisted (ikke hemmeligt, men det står ikke i telefonbøger/lister).
- more_vert
- insert_linkKopier link
Det er jo ikke den store overraskelse at det er muligt, det har været kendt i mange år.
Jeg mener personligt at det er en fin service, at kunne tilbyde, så vi kan løfte brugeroplevelsen på en mobil side.
Så må vi bare håbe at operatørene er gode nok til at lege politimand, og kun godkende de sider hvor det har en god relevans.
- more_vert
- insert_linkKopier link
Operatører der bestemmer om "nogen udvalgte" skal vide hvem du er og hvor du bor. Det virker ikke betrykkende.
Hvor vil du løfte "brugeroplevelsen" hen ? Det lyder som en gang vrøvl. Hvis "brugeroplevelsen" løftes nogen steder hen, så er det ind over hegnet i privatlivets fred.
- more_vert
- insert_linkKopier link
Telefonnummer og IP-addresse kan slet ikke sammenlignes. Telefonnummeret er jo en unik identifikation af en person - og i mange tilfælde kan telefonnummeret bruges til også at fremskaffe navn og adresse via en telefonbog.
Jeg synes det ville være fint, hvis version2 spurgte TDC om de tjener penge på at videresende deres kunders personlige oplysninger til disse websider?
- more_vert
- insert_linkKopier link
Som lovgivningen forpligter dit teleselskab til at sælge til ALLE interesserede parter, med mindre du har udeladt/hemmeligt nummer... Så hvorfor skulle det være et stort problem, at det kan ses når du besøger en hjemmeside hvor du køber en tjeneste der kan betales over din mobilregning?
- more_vert
- insert_linkKopier link
Så hvorfor skulle det være et stort problem, at det kan ses når du besøger en hjemmeside hvor du køber en tjeneste der kan betales over din mobilregning?
Det skal åbenbart skæres ud i pap for nogle...
Det er et problem fordi der er tale om oplysninger der kan automatisk sammenkobles med din IP adresse og via cookies og lign. så kan det trackes og sammenkøres med de reklamer du ser/klikker på osv. Dvs. det er en mere eller mindre person henførbar oplysning der kan bruges til targetting.
Det er ikke nummeret i sig selv der er problemet, men det er måden det kan bruges på og det er det at man pludselig kan blive identificeret med navn og adresse over for en kommerciel hjemmeside hvor man ikke nødvendigvis ønsker at oplyse den slags informationer!
- more_vert
- insert_linkKopier link
@ Chano Klinck Andersen.
Jep. Du har ret i at det er i orden at sælge disse oplysninger / stille oplysningerne til rådighed. Men som unik identifikation fungerer det ikke, simpelthen fordi at der ikke nødvendigvis er sammenhæng mellem den person der benytter telefonen, og den som ejer telefonen.
Jeg / vi, har f.eks. kun en mobil netforbindelse. Der er ikke andet, men det er jo ikke ensbetydende med, at man kan sikre sig, hvem der benytter forbindelsen. I vores tilfælde, kan man ikke engang ringe til forbindelsen, da der ikke benyttes en egentlig telefon til at klare opgaven omkring net. For mit vedkommende, bliver der aldrig behov for andet en en mobil forbindelse. Det dækker så rigeligt vores behov og har mange fordele som ikke findes på kabel.
- more_vert
- insert_linkKopier link
Men som unik identifikation fungerer det ikke, simpelthen fordi at der ikke nødvendigvis er sammenhæng mellem den person der benytter telefonen, og den som ejer telefonen.
I teorien har du ret, men i praksis så er en mobiltelefon som regel rimelig hårdt benyttet af én person. Det er ikke normalt at en mobilteleofn fx deles af en hel husstand som med en fastnet telefon. Og selvom du måske engang imellem lige låner den til en ven(Sker stort set aldrig for mig... Folk har jo selv deres telefon) så vil 99% af aktiviteten på den telefon være fra dig.
- more_vert
- insert_linkKopier link
@ Michael Lykke. I vores tilfælde, er mobilt net langt den nemmeste løsning. Vi kan f.eks. tage den med os, vi skal ikke engang kontakte en udbyder, for at skifte udbyder, det foregår ved at skifte sim-kort.
Du skal nok regne med, at det vil blive fremtiden. Langt de fleste private, vil ikke have behov for en fastnet-løsning. Efterhånden, som de fleste får en PC/Pad/Notephone med plads til simkort, eller anden løsning op mod nettet, så vil alt netadgang foregår fra den slags.
Jeg forventer, at der snart bliver åbnet en helt ny elektronisk verden for os, og klapper i mine små hænder i forventning om, at de forskellige leverandører, tager mulighederne i brug. De muligheder der er i den verden, er jo helt vildt. Prøv bare at tænke på, at i er 5 venner der vil se en film. I bundler jeres forbindelse, så vil i kunne hente en sådan full HD film ned fra nettet, på minutter. (En mulighed i allerede har, hvis i ved hvordan). Er i til festival, så kan i lave et mega-lan, og høre den musik i vil, direkte nede fra teltet, eller finde Jette, som forsvandt i aftes. Og man behøver ikke bekymre sig om 3's mast klarer presset, for det er allerede bundlet og fordelt, så ingen dør på dårlig forbindelse. Kast dig ind i bilen, og den logger på med bilens mobilnet, og du smider dagens tur over på bilen, så den er varm og klar, når du har brug for det. Den kender oven i købet din kalender, så du har ruteplanlægningen i dit onlinemap, og dine venners map kender den også, så den kan foreslå frokostmøde med en kollega, fordi i mødes på vejen. Men hvilken telefon, kommunikationen foregår over, vil du ikke engang selv vide. Du vil ikke engang vide, om det er bilen, eller det bluetoot apparat du har i øret, der kommunikerer.
I forbindelse med identifikation. Så er et telefonnummer, kun en identifikation af et apparat, ikke en personlig identifikation. I forbindelse med virksomheder, institutioner, eller tilsvarende, er der ikke engang tale om at man identificerer andet, end virksomheden som ejer apparatet. Der ER forskel på apparater og identiteter ;)
- more_vert
- insert_linkKopier link
Jeg forventer, at der snart bliver åbnet en helt ny elektronisk verden for os, og klapper i mine små hænder i forventning om, at de forskellige leverandører, tager mulighederne i brug.
Jeg er slet ikke uenig i eller modstander af de mange nye muligheder - Men det skal ske med respekt for ens privatliv og deling af informationer skal kun ske i det omfang jeg ønsker det/giver tilladelse til det.
Ikke carte blanche deling som en eller anden udbyder vælger for mig og herefter tjener penge på.
Der ER forskel på apparater og identiteter ;)
I teorien og delvis i praksis så ja... MEN langt størstedelen af de mobiltelefoner der benyttes idag er IKKE købt af en virksomhed og en mobiltelefon er en meget personlig enhed der i de fleste tilfælde, følger én bestemt person. Der er undtagelser men de gælder kun for en lille del af den samlede mængde af enheder.
Og netop derfor ER der stort set tale om en identifikation af en bestemt person - Oven i købet med adresse osv.
Og den slags informationer er jeg ikke tilhænger af skal deles automatisk - Tværtimod ser jeg nogle gevaldige problemer i netop dette og jeg ønsker IKKE at man skal kunne sammenkæde mine søgninger med oplysninger som mit telefonnummer og adresse. Der er grænser for hvor meget data jeg ønsker at dele og i langt de fleste tilfælde vil de data heller ikke give mig noget brugbart "service" og derfor er det kun til fordel for de økonomisk involverede parter og ikke mig.
Det er fint at være facineret af teknologien, det er jeg selv, men man skal passe meget på med bare at bukke sig ind over bordet og tage imod alt hvad kommercielle selskaber finder på. Det er klart at foretrække at man bibeholder en sund skepsis overfor den slags. :)
- more_vert
- insert_linkKopier link
Formålet med at sende nummeret med til indholdsudbyderen har altid været billing, altså at indholdsudbyderen har kunne fakturere en service direkte til dit mobilnummer. I "gamle dage" var det sådan man betalte for ringetoner når man hentede dem via WAP portaler på en hjemmeside.
Men i andet end billing sammenhæng, giver det ikke meget mening at sende et mobilnummer med til siderne..
- more_vert
- insert_linkKopier link
Ser du aldrig på datoerne hvornår de er skrevet? - selvom den lige er blevet aktuel igen efter facebook ændrede i deres vilkår og nu rent faktisk snupper dit mobilnummer til videresalg når du surfer på FB via mobilen - så er der Ingen grund til at rippe op i ÅRGAMLE artikler.
- more_vert
- insert_linkKopier link
Men alligevel er der grund til at 2 andre kommentere det? I stedet for blot at stoppe med at følge kommentarer til artiklen? :P
- more_vert
- insert_linkKopier link
Måske v2 skulle tænke i at have nogle temaer kørende, som man kan chippe ind i / blogge mod, når anledning gives ?
Ideen er hermed givet videre.
- more_vert
- insert_linkKopier link
Hvis TDC mener at det er samme surdej kan jeg ikke forstå at de udleverer telefonnummret - IP-adressen er jo lige så god....
- more_vert
- insert_linkKopier link
Hvordan adskiller IP-adressen sig fra dette ? Med en IP-adresse kan du jo også netop entydigt få den præcise identifikation af en bestemt telefon (evt. sammen med tidspunktet for opkaldet, hvis der benyttes dynamisk IP-adresse) ?
Hvis ikke IP-adressen entydigt identificerer ejeren, kan den jo i hvert fald ikke bruges til at købe noget som helst med ?
- more_vert
- insert_linkKopier link
Nej, det er forkert, et telefonnummer beskriver hvilken telefon der bliver benyttet i kommunikationen, det er IKKE en unik identifikation af personen. Det kan kun blive en identifikation af hvem der ejer en given telefon, men aldrig hvem der benytter den.
I disse moderne tider..... Hvor mobiltelefoner fungerer mindst lige så godt som hotspot, som nogen anden hotspot-løsning, er der slet ikke tale om unik identifikation af en web-bruger.
Men du kan være 112 % sikker på, at hvis det kobles sammen med alle mulige andre løsninger, omkring målrettet reklame og betalingsordninger, så vil det blive brugt til at "hæve brugeroplevelsen".
- more_vert
- insert_linkKopier link