Også DR’s mobilsite har indtil november i år automatisk fået medsendt brugeres telefonnummer, når de er surfet ind på domænet mobil.dr.dk fra en mobiltelefon med et TDC-abonnement.
Det er sket som følge af teleoperatørernes praksis med at indsætte nummeret i den såkaldte http-header, når datapakker har forladt mobiltelefonen med kurs mod specifikke domæner, som Version2 tidligere har beskrevet.
I forlængelse af omtalen stoppede teleselskaberne i starten af november 2014 med at medsende mobilnummeret.
Selvom en test, Version2 har foretaget, viser, at også mobil.dr.dk har fået medsendt telefonnumre indtil november i år, har DR efter eget udsagn ikke haft kendskab til dette. Som mulig forklaring henviser public service-virksomheden til en tidligere aftale med den store mobiltjenesteudbyder Unwire, der helt og senere delvist har drevet domænet mobil.dr.dk.
Unwire, der blandt andet har stået for sms-afstemningerne til realityprogrammet X Factor, er efter alt at dømme en af de relativt få virksomheder, som teleoperatørerne har beskrevet som betroede samarbejdspartnere, og som har fået mobilnumre medsendt via http-headeren i forbindelse med visse tjenester.
DR’s aftale med Unwire har dog ikke været gældende siden august 2013, oplyser centerchef for DR’s tekniske afdeling, TU Interaktiv, Hannah Kildahl. Da Version2 kontakter hende i første omgang, mener hun derfor heller ikke, DR har fået medsendt mobilnumre i http-headeren siden august 2013.
»Før august 2013 har DR muligvis fået medsendt brugerens mobilnummer i http-headeren, men hvis det skulle være sket, har DR ikke benyttet denne information til noget i mange år – om nogensinde,« skriver Hannah Kildahl i en mail.
Men Version2 har kunnet konstatere, at mobil.dr.dk frem til starten af november 2014 har fået medsendt mobilnumre i http-headeren, når domænet er blevet tilgået fra et TDC-mobilabonnement. Forelagt dette svarer Hannah Kildahl:
»Det er ikke teknisk muligt for DR at modtage mobilnummeret, medmindre brugerens egen browser eller teleudbyder har valgt at inkludere det i http-headeren. At TDC har medsendt mobilnummeret i nyere tid, er vi ikke vidende om. Det må være en praksis, de har genoptaget uden vores vidende, efter at vi forlod Unwire i august 2013. Det må være en sag mellem brugeren og teleudbyderen,« skriver Hannah Kildahl og fortsætter:
»Vi har selvsagt IKKE brugt informationen til noget.«
Mobil.dr.dk er langtfra det eneste domæne, der indtil november i år har fået medsendt mobilnumre, når Telia-, Telenor- eller TDC-kunder (inkl. eventuelle datterselskaber) har tilgået visse domæner fra en mobiltelefon. Mobilselskabet 3 har ikke i nyere tid medsendt mobilnumre i http-headeren.
Eksempelvis har en stribe domæner under JP/Politikens Hus også fået medsendt mobilnumre. It-direktør i JP/Politikens Hus Per Palmkvist Knudsen har tidligere over for Version2 stillet sig uforstående over for dette, ligesom han ikke har været bekendt med, at der skulle foreligge nogen aftale om, at mediekoncernen skal have mobilnumre medsendt i http-headeren.
Men hvorfor har DR og JP/Politikens Hus så fået mobilnumrene medsendt? Det relaterer sig med al sandsynlighed til WAP (Wireless Application Protocol). En dataprotokol, hvor mobilnummeret har gjort det muligt automatisk at overføre prisen for købet af en ringetone, en mobilbillet eller andet til telefonregningen. Også kaldet WAP-billing.
I en pressemeddelelse om, at mobiloperatørerne nu ville stoppe med at medsende mobilnumre, lød det fra direktør i branchesamarbejdet Teleindustrien Jakob Willer:
»Wap-tjenester bruges stort set ikke mere, og den teknologiske udvikling har medført, at dette setup er blevet forældet og uhensigtsmæssigt – blandt andet fordi mobiltjenester i dag hyppigst baseres på apps. De seneste dages debat har også vist, at det er muligt at få mobilnummeret overført til andre end tjenesteudbyderne. Dette har gjort nogle mobilkunder utrygge.«
Beslutningen om at droppe medsendelsen af nummeret var en korrekt handling, som professor ved Aalborg Universitet og ekspert i teleret Søren Sandfeld Jakobsen tidligere formulerede det over for Version2.
Professorens umiddelbare vurdering er nemlig, at det er i strid med persondataloven og udbudsbekendtgørelsen automatisk at medsende mobilnumre, hvis ikke der har været en konkret grund til det. Og i og med at WAP-tjenester med Teleindustriens egne ord ‘stort set ikke bruges mere’, er det også svært at få øje på den konkrete grund til automatisk at medsende mobilnummeret til et ukendt antal domæner.
Men selvom der i visse tilfælde skulle have været en grund, kan Hannah Kildahl ikke komme i tanke om den for DR’s vedkommende. Samarbejdet med Unwire handlede ifølge Hannah Kildahl om at registrere, hvilken telefontype der tilgår mobil.dr.dk, med henblik på at vise indhold, som telefonen teknisk understøtter.
»DR benyttede Unwire som gateway for at kunne håndtere device-detection (om folk skulle have vist et WAP-site eller et smartphone- site), men det var ikke mappet op på brugerens mobilnummer, men på den device-information, der lå i http-headeren,« skriver hun.
Ifølge Hannah Kildahls udsagn er det altså tvivlsomt, hvornår og om mobilnumre i http-headeren har været relevante i forhold til DR’s mobilsite. Tilbage står så spørgsmålet om, hvorfor i alverden numrene er blevet sendt til mobil.dr.dk frem til november 2014 via et TDC-abonnement.
Version2 har forsøgt at få TDC til at forholde sig til, at teleselskabet har indsat mobilnumrene i http-headeren på forespørgsler rettet fra en mobil dataforbindelse til mobil.dr.dk længe efter, at det lader til at have haft nogen relevans – hvis det da nogensinde har haft det.
»Vi er ved at undersøge denne her sag. Og så længe vi ikke er færdige med at undersøge den til bunds og få ryddet op i den, har vi altså ikke yderligere kommentarer,« lyder det kortfattede svar fra kommunikationsmedarbejder i TDC Rasmus Avnskjold, som henviser til TDC’s tidligere, generelle udtalelser i forhold til sagen med mobilnumrene.
Det har ikke været muligt at få en kommentar fra Unwire, der på et tidspunkt skulle have stået for mobil.dr.dk.
Hverken TDC eller Unwire kan altså umiddelbart hjælpe med at opklare, hvorfor blandt andet DR’s mobilsite har fået medsendt mobilnumre frem til november 2014 som følge af en teknologi, der stort set ikke bliver anvendt længere.
Glemte domæner og whitelisting?
En mulig forklaring kan være, at Unwire – der gennem årene har leveret WAP-løsninger til blandt andet flere medier og trafikselskaber – har fået adskillige domæner whitelistet hos teleoperatørerne med henblik på at kunne levere visse tjenester. Eksempelvis salg af indhold over mobilregningen.
Når mobiloperatørerne så har registreret, at en kunde har bevæget sig ind på et af domænerne på listen, er mobilnummeret automatisk blevet indsat i http-headeren.
Men efterhånden som WAP er blevet mindre udbredt, har hverken mobiloperatører, tjenesteudbydere eller domæneindehavere taget initiativ til, at listen med domæner skulle opdateres, så mobilnumrene ikke længere blev automatisk sendt med. Og derfor er praksissen fortsat i årevis.
Dette beror dog på et kvalificeret gæt, da hverken TDC eller Unwire har formået at besvare vores spørgsmål om, hvorfor DR’s mobilsite i alle årene frem til november 2014 har modtaget mobilnumrene.
DR’s forklaring om, at mobilnummeret umiddelbart ingen relevans har haft for mobil.dr.dk, kunne desuden tyde på, at de domæner, der er blevet whitelistet i teleoperatørernes bagvedliggende systemer, automatisk har fået indsat mobilnummeret i http-headeren – uanset om den information har været relevant eller ej i forhold til det konkrete brugsscenarie.
»Det er uheldigt«
Forklaringen, at en stribe domæner i sin tid er blevet whitelistet hos teleoperatørerne, uden at nogen løbende har forholdt sig til relevansen af listen, lyder sandsynlig, mener internetaktivist og datalog Christian Panton. Det var ham, der satte gang i den nuværende debat, da han testede sig frem til, at mobilnumre blev indsat i http-headeren, når visse domæner blev forsøgt tilgået fra en mobiltelefon.
»Det er uheldigt, at personoplysninger på den måde er flydt rundt på internettet – uden at kunderne har været bekendt med det,« skriver han i en mail.
Christian Panton kalder det en konsekvens af internettets natur, at numrene fortsat er tilgået visse domæner, selvom virksomheden bag driften af domænerne måtte have skiftet gennem årenes løb.
»Det er ærgerligt, at TDC og de andre selskaber aldrig har fulgt op på denne praksis. Det har været en ad hoc-løsning, og sådanne løsninger har en slem tendens til ikke at blive vedligeholdt.«
Umiddelbart vurderer Christian Panton dog ikke, at sagen om numrene kan bruges som generel indikation for datasikkerheden i telebranchen.
»Jeg tror ikke, at sagen siger meget om det generelle niveau, da der er væsentlig forskel på opmærksomheden på løsninger, der kigges på dagligt, og løsninger, der har ligget og samlet støv i hjørnet de sidste 5-10 år. På den anden side er min erfaring desværre ret dårlig, når man forsøger at rejse den slags spørgsmål hos teleselskaberne. Jeg har oplevelsen af, at der ikke er nogen, som sidder med ansvaret for privatlivsbeskyttelsen, og derfor er det utrolig svært for dem at håndtere henvendelserne.«
Erhvervsstyrelsen, der er den ansvarlige myndighed på teleområdet, har tidligere oplyst, at myndigheden er ved at undersøge sagen om den automatiske medsendelse af mobilnumre.
Leave a Reply