Når du bevæger dig ind på en hjemmeside fra en mobiltelefon, kan det være, du efterlader langt mere end din ip-adresse.
Internetaktivist og datalog Christian Panton fundet frem til, at danske teleoperatører sender mobilens telefonnummer til visse samarbejdspartnere via HTTP-headers. Header-feltet med mobilnummeret bliver automatisk sendt fra telefonen, når brugeren tilgår specifikke url’er, og hvis teleoperatøren understøtter det.
»Det største problem er, at brugeren ikke ved, hvilke hjemmesider er på deres liste over samarbejdspartnere, og at der ikke er en mulighed for at frabede sig den praksis. Jeg har gennemlæst diverse mobiloperatørers vilkår, og de har aldrig gjort opmærksom på, at de videregiver, hvad jeg anser som personlige informationer,« skriver Christian Panton i en mail til Version2.
Han peger i den forbindelse på, at Version2 tidligere har berørt emnet. Det var i en historie fra 2012. Dengang fortalte TDC, at teleselskabet sender kunders mobilnumre til visse hjemmesider uden det dog kom frem, hvordan numrene bliver sendt.
Inspireret af en aktuel sag fra USA, hvor det er kommet frem, at internetudbyderen Verizon identificerer brugere ved at indsætte et unikt identifikationsnummer i HTTP-headeren, satte Christian Panton sat sig for at se, om det var en lignende måde, mobilnumre bliver sendt af nogle danske teleoperatører til udvalgte hjemmesider. Og det er det.
Panton har lavet en test, som andre i skrivende stund også kan prøve, der viser, hvordan et mobilnummer bliver sendt med et header-felt. Demonstrationen har rejst nogen debat på blandt andet Twitter. Emil Stahl, som har tippet Version2 om den aktuelle debat, gennemgår flere detaljer i sagen her.
TDC sammenlignede i Version2′s historie fra 2012 funktionen med at sende et telefonnummer til en hjemmeside med, at ip-adressen jo også bliver sendt til en hjemmeside. Den sammenligning giver Christian Panton ikke meget for:
»Det er et brud på den sociale kontrakt, vi normalt har, når vi bruger internettet. Vi forventer ikke at blive identificeret med navn og telefonnummer, derimod har vi en forventning om at dette er oplysninger, vi selv deler ud, hvis nødvendigt,« skriver han fortsætter:
»I dag kan man ikke bare sådan lige få oplyst, hvem som benytter sig af en IP-adresse. Men det er forholdsvist nemt at søge på et telefonnummer på nummeroplysningen eller via Facebook.«
Version2 har taget Pantons header-test med et abonnement hos Telenors datterselskab Bibob. Her bliver telefonnummeret også sendt via HTTP-headeren. Version2 har kontaktet både TDC og Telenor omkring praksissen med at sende kunders telefonnumre til visse tjenester.
Teleindustrien: Nødvendigt at bruge telefonnummer
TDC er ikke vendt tilbage, og Telenor henviser til Jakob Willer, direktør i teleselskabernes branchesamarbejde, Teleindustrien, for en fælles udtalelse på vegne af branchen.
Jakob Willer har svaret i en mail, blandt andet på spørgsmålet om, hvorfor nogle teleselskaber sender mobilnumre over HTTP til visse hjemmesider:
»Teleselskaberne videregiver ikke numre. Det er dog nødvendigt at bruge telefonnummer som identifikation i forbindelse med styring af visse personificerede mobiltjenester, som en partner udfører under krav om fortrolighed. Mobilnumrene bruges på få betroede partneres hjemmesider som identifikation i forbindelse med fx betaling, hvor det er nødvendigt. Det kan fx være mobilspil, som skal betales via mobilregningen, hvor det gør teleselskaberne i stand til at sikre, at det er den rigtige regning, købene faktureres på.«
Hvilke selskaber sender mobilnumre med HTTP-headeren?
»Jeg har kendskab til, at flere selskaber bruger denne løsning. De bruger mobilnummeret som identifikationsmiddel på et fåtal af betroede samarbejdspartneres hjemmesider.«
Hvilke partnere modtager mobilnumre med HTTP-headeren?
»Så vidt jeg er orienteret, er der tale om et fåtal af betroede samarbejdspartnere, hvor mobilnumre bruges som identifikation. Det er fx, når en vare skal betales via mobilregningen, at det er nødvendigt,« skriver Jakob Willer.
Her bliver det brugt
Unwire, der blandt andet laver mobile betalingstjenester, er et af de selskaber, der har en aftale med teleoperatørerne, som betyder, at Unwire i visse tilfælde gør brug af telefonnumre, sendt via HTTP-headeren. Jens Johan Schwarzer, vice president for strategi i Unwire, fortæller, at virksomheden kalder funktionaliteten a-nummer forwarding.
»Vi bruger a-nummer forwarding i nogle af vores tjenester som en ekstra sikkerhed i forbindelse med login. Vi bruger det primært, så vi kan sende en en engangskode ud til brugerens telefon via sms uden først at skulle bede brugeren om at indtaste et telefonnummer,« siger han.
Derudover anvender Unwire tjenesten på enkelte sites til at anmode brugeren om at godkende køb ved at sende en SMS, fortæller Jens Johan Schwarzer.
»Teleselskabet kigger på det domæne, der bliver tilgået. Og hvis det er på deres whiteliste, så tilføjer de selv headeren med telefonnummeret, inden forespørgslen rammer domænet,« siger Jens Johan Schwarzer.
Han fortæller, at Unwire gemmer kundens telefonnummer de steder, hvor tjenesten bliver brugt til sende SMS’er til slutbrugeren. Det er ifølge Jens Johan Schwarzer nødvendigt, for at Unwire kan afregne med virksomhedens kunder og teleselskaberne.
I kølvandet på Christian Pantons header-test, der er har rejst nogen debat på blandt andet Twitter, fortæller Jakob Willer, at han i branchen ‘vil tage initiativ til hurtig at få en drøftelse af dette set-up.’
Leave a Reply