Flere af de store, danske teleselskaber sender automatisk dit mobilnummer til udvalgte samarbejdspartnere, når du surfer ind på specifikke domæner, som datalog og internetaktivist Christian Panton har demonstreret og som Version2 beskrev i sidste uge.
Nu viser det sig, at også 3. parts app, som konsekvens af dette, kan få adgang til nummeret. Vel at mærke uanset om app’en eller har tilladelse til at tilgå den slags data, og uanset om nummeret er hemmeligt eller ej.
Det fremgår af en demonstrationsvideo, som HTX-studerende Emil Stahl, der har fulgt sagen tæt, har lavet. Her viser han, hvordan en app, udviklet af Emil Stahls kammerat Jonas Boserup, kan fiske telefonnummeret ud af en iPhone, selvom app’en ikke har tilladelse til det.
At det foregår på en iPhone er i sig selv bemærkelsesværdigt. Apple tillader nemlig slet ikke, at apps får adgang til mobilens telefonnummer, fortæller Esben Thorving Bjerregaard,
Solutions Architect & Partner i app-udviklingsfirmaet iDeal Development.
»Det er normalt ikke noget, der kan lade sig gøre på nogen som helst måde,« siger han.
Esben Thorving Bjerregaard har kigget på koden bag demonstrations-app’en, og han vurderer, at teknikken, app’en anvender, ser troværdig ud.
I det konkrete tilfælde udnytter app’en, at en af teleselskabernes samarbejdspartnere, Unwire, på flere undersider har indlejret mobilnummeret i HTML-koden, når undersiderne bliver tilgået fra den mobile dataforbindelse. App’en kan derfor lave et kald til siderne og hente telefonnummeret ud.
Herefter kan numrene i princippet sendes videre og samles i en database. Uanset om brugeren har givet app’en tilladelse eller ej.
Selskabet Unwire, der blandt andet laver mobile betalingstjenester, er et af de selskaber, der har en aftale med teleoperatørerne, som betyder, at Unwire i visse tilfælde gør brug af telefonnumre, sendt via HTTP-headeren. Unwire oplyser til Version2, at virksomheden ikke har nogen kommentarer til, at en app, via Unwires hjemmesider, har kunnet fiske telefonnumre frem. Unwire har nu taget flere undersider ned, som har kunnet bruges til at eksponere telefonnumre. Version2 har dog tilgået siderne tidligere og kunnet bekræfte, at mobilnumre har været tilgængelige i HTML-koden via siderne.
Også Telenor har været igang med at rode i virksomhedens setup efter Christian Pantons demonstration. Således bliver mobilnummeret ikke længere sendt alene baseret på den såkaldte host-header. Intet tyder dog på, at dette fiks har lukket for, at en 3. parts app kan høste telefonnumre via den app, Emil Stahl demonstrerer i videoen.
Generelt set er Esben Thorving Bjerregaard overrasket over, at selskaberne videresender mobil-numrene til 3. part ved at føje nummeret til HTTP-headeren efter data-pakken har forladt telefonen.
»Det synes jeg er helt uacceptabelt. Som absolut minimum bør de nævne, hver gang de sender mobilnummeret til en 3. part.«
Telenor har i løbet af debatten henvist til virksomhedens kundevilkår (PDF). Nærmere bestemt punkt 11k på side 10.
Her står der under overskriften ‘Registrering og anvendelse af data’: Telenor overfører oplysninger om dit mobilnummer til leverandøren af den indholdstakserede tjeneste.
Dette giver Esben Thorving Bjerregaard dog ikke meget for:
»Det er fint, de har skrevet det i deres betingelser. Men den almindelige forbruger læser jo ikke de betingelser.«
Langt værre end cookies
Han mener, metoden med at medsende numre til samarbejdspartnere er langt mere invaderende for privatlivet end de cookies, som hjemmesider sætter på brugernes computer.
»Det her er jo langt værre en cookies. Hvis du laver ‘private browsing’, så er man jo ude over det problem. Det er relativt nemt at komme udenom for den almindelige bruger. Hvorimod det her, det sker jo fuldstændigt uden, at man på nogen måde bliver spurgt om det.«
Telia, TDC og Telenor gør det
Telia, TDC og Telenor bekræfter over for Version2, at selskaberne automatisk medsender mobilnumre til det, de beskriver som betroede samarbejdspartnere, når visse url’er bliver tilgået. 3 anvender ikke samme metode. Pressechef i 3, Tanja Krebsø skriver en en mail til Version2:
»Vi bruger ikke header enrichment. Hos os er det noget, der har været anvendt tilbage i tiden – og senest, da debatten var oppe i 2011, bad vi vores daværende leverandør Unwire om at sørge for, at der var sikkerhed omkring vores kunders identitet (læs: telefonnumre), når de benyttede sig af nogle af de tjenester, som gik gennem Unwire,« skriver hun og fortsætter:
»I dag benytter vi Paii til de bilaterale aftaler, vi tidligere har haft med bl.a. Unwire – og det er således Paii, der nu har ansvaret for indholdsleverandørernes aftaler.«
Hos TDC svarer pressemedarbejder Rasmus Avnskjold via mail følgende på spørgsmålet om, hvilke samarbejdspartnere der kan få et mobilnummer sendt med i HTTP-headeren:
»Det kan de samarbejdspartnere, som TDC godkender og har tillid til vil behandle alle oplysninger dybt fortroligt. Det fremgår fx af kontrakten at alle informationer udelukkende må anvendes til at betjene kunden på den konkrete tjeneste.«
Pressechef i Telia, David Engstrøm, skriver i en mail om samme emne:
»Her er tale om ganske få betroede partnere, med hvem vi laver en databehandleraftale i overensstemmelse med persondatalovgivningen for at sikre, at vores partner overholder den nødvendige fortrolighed og sikkerhed i forhold til vores data. Og det er værd at bemærke, at her alene er tale om telefonnumre og ikke personfølsomme oplysninger eller navn og adresse mv.«
På spørgsmålet om, hvor mange samarbejdspartnere, der har adgang til tjenesten fra teleselskaberne, hvor mobilnummeret automatisk sendes med, skriver pressechef i Telenor Tom Lehn-Christiansen, i en mail til Version2:
»En håndfuld partnere. Mobilnummer i http-headere er et værktøj, som gør det nemmere for partnere at afvikle deres tjenester. Alternativet ville fx være, at kunderne skulle indtaste deres mobilnummer, hver gang de ønsker adgang til en tjeneste, samt eventuelt gennemløbe ekstra tjek med SMS-kode.«
Også hemmelige numre
TDC, Telia og Telenor fortæller, at også hemmelige telefonnumre, bliver sendt med på linje med andre telefonnumre. Ingen af selskaberne ønsker dog at oplyse, konkret hvilke samarbejdspartnere, der per automatik får – også hemmelige – telefonnumre sendt med, når visse sider tilgås fra mobilen.
Version2 har forelagt koden bag Jonas Boserups iPhone-app for Telia, TDC og Telenor. Vi ville gerne have haft en kommentar til, at det via selskabernes samarbejdspartnere og som følge af den automatiske medsendelse af telefonnumre er muligt for en 3. parts app at tilgå og potentielt indsamle telefonnumre i det skjulte.
Ingen af de tre teleselskaber har dog ønsket at kommentere dette. I stedet henviser de til Jakob Willer, direktør for branchesamarbejdet Teleindustrien for en samlet udtalelse. Han skriver i en mail:
»I erkendelse af at det nuværende set-up ikke er hensigtsmæssig, er der i branche-regi taget initiativ til, at man på tværs af teleselskaberne foretager en nærmere undersøgelse af fænomenets omfang. Skulle det vise sig nødvendigt med yderligere sikkerhedsforanstaltninger end de, der allerede er foretaget, vil dette naturligvis ske. Det gælder for alle selskaber i TI. Tillige er det værd at bemærke, at ingen af teleselskaber heller ikke i en historisk kontekst har kendskab til, at der har fundet misbrug sted.«
Både TDC, Telia og Telenor er medlemmer af Teleindustrien. 3 er ikke. På spørgsmålet om hvorvidt selskaberne faktisk ved, hvorvidt der har fundet misbrug sted, svarer Jakob Willer tilbage:
»Ingen af selskaberne har kendskab til, at der har fundet misbrug sted.«
Misbrug eller ej, så kunne et lidet ønske scenarie være en ondsindet app på en iPhone, som det her fremgår af Emil Stahls video, hvor han demonstrerer Jonas Boserups proof-of-concept app via en af Unwires nu nedtagede undersider:
Leave a Reply