L’home dibuixat

Segons informa el bloc Certificate Error (veure Orange Spain disclosing user phone number), els usuaris de l'operadora de telefonia Orange que fan servir el seu telèfon mòbil per connectar-se a Internet, envien el número del telèfon al servidor al que s'estan connectant.

Quan des d'un telèfon accedim a Internet, l'operador de telefonia ens assigna una adreça IP, que pot anar variant (cada vegada que fem la connexió a Internet l'operador ens assigna una IP, que no ha de ser sempre la mateixa assignada en altres connexions; de fet, la IP pot modificar-se dins d'una mateixa connexió).

Els operadors de telefonia habitualment no donen cap informació personal sobre qui o des d'on es fa l'accés a Internet. Com a molt donen la possibilitat de fer una geolocalització, en base a la IP assignada o a informació relativa a la infraestructura de comunicacions del proveïdor.

Però segons denuncia el bloc Certificate Error, en el cas d'Orange, l'operador afegeix una capçalera HTTP que conté el número de telèfon des d'on s'està accedint a Internet (que és el número de telèfon de l'usuari).

És a dir, si accedim a Internet vía Orange, l'operador està donant al servidor web remot el nostre número de telèfon. Això únicament succeeix quan l'accés es fa via WAP (l'APN configurat al telèfon és "orangeworld"); si s'accedeix a través de GPRS això no succeeix.

Per a comprovar la informació que estem enviant als servidors web, només cal visitar aquesta pàgina. En cas d'utilitzar Orange, mireu si hi ha una capçalera anomenada X-Network-info on s'inclou el número de telèfon del mòbil.

Actualització: L'Albert Cuesta (de CanalPDA) ha contactat amb Orange i li han dit que això ja no succeeix:

El comportamiento que indicaban en el artículo (envío del MSISDN a las páginas solicitadas desde móvil) ocurría sólo para algún caso residual que aún utilizaba la antigua plataforma de WAP y, en todo caso, el problema derivado de la migración a una nueva de plataforma WAP está solucionado. Esta situación ya no se da, y el envío de datos de clientes se realiza de modo completamente seguro mediante encriptación.

[The New York Times] Web Photos That Reveals Secrets, Like Where You Live. No ho sabia que els smartphones poden incloure les coordenades, agafades del GPS, a les fotografies…

Security experts and privacy advocates have recently begun warning about the potential dangers of geotags, which are embedded in photos and videos taken with GPS-equipped smartphones and digital cameras. Because the location data is not visible to the casual viewer, the concern is that many people may not realize it is there; and they could be compromising their privacy, if not their safety, when they post geotagged media online.

Ho acabo de mirar i, efectivament, a les fotografies que faig amb el meu mòbil hi ha aquesta informació… afortunadament, l'Android permet desactivar-ho fàcilment: al menú de l'aplicació de càmera fotogràfica, entrar als paràmetres i dins dels paràmetres generals l'opció "Store location in pictures" ha d'estar desactivada:

Desactivar l'enregistrament de les coordenades a les fotografies

Google Alarm és una extensió per a Firefox que avisa (de forma visual i sonora) cada vegada que en visitar una pàgina web s'envia informació a Google. Això succeeix cada vegada que accedim a una pàgina web que fa servir alguns dels serveis de Google que recullen informació sobre els visitants: Analytics (estadístiques de llocs web), AdSense (publicitat)… o que fan servir algunes de les funcionalitats residents als servidors de Google, com ara les API de Youtube.

Si el voleu utilitzar a la feina, també hi ha una versió que no fa sorolls

De forma experimental, també hi ha una versió per al Chrome

 [SkullSecurity] Return of the Facebook Snatchers explica com han aconseguit obtenir una llista que conté 171 milions de noms (100 milions únics) de Facebook… sense fer servir cap eina d'atac, sinó únicament la informació disponible al directori públic i un script en Ruby de cinquanta-cinc línies.

La llista completa d'usuaris està disponible a BitTorrent (2,7 GB).

[The Wall Street Journal] Citi Discloses Security Flaw in Its iPhone App. El CitiBank ha reconegut que la seva aplicació per a iPhone, que permet realitzar operacions des del telèfon mòbils té problemes de privadesa.

In an incident that highlights the growing security challenges around wireless apps, Citi said its iPhone app accidentally saved information—including account numbers, bill payments and security access codes—in a hidden file on users' iPhones. The information may also have been saved to a user's computer if it had been synched with an iPhone.

Havia parlat anteriorment del que Google coneix de nosaltres. Ara és el torn de saber el que Microsoft coneix de nosaltres:

Microsoft starts collecting information on you and your system within minutes of you starting up a brand-new system. 

The flow begins when you first start your system, log on to Windows and go through the WAT validation process.

"WAT doesn't store your name, address, e-mail address or any other information that Microsoft can use to identify you or your computer," Lynch says. "The tools will collect information used for aggregate reporting, which include computer make and model; version information for the operating system and software; region and language settings; a unique number assigned to your computer by the tools; [hashed] product key and product ID; BIOS name, revision number and revision date; and [hashed] hard drive volume serial number.

Però no s'acaba amb conèixer les característiques del nostre ordinador: a les cerques via Bing també es recull l'adreça IP i la configuració del navegador, així com dades sobre els nostres hàbits d'utilització d'Internet.

Cada vegada que un programa peta i decidim enviar la informació a Microsoft, també els hi permetem conèixer dades sobre les raons que han originat el problema, que poden revelar informació sobre la forma en que utilitzem l'ordinador (i els programes que fem servir).

L'Adobe Flash també manté galetes (cookies)… però amb una sèrie de característiques addicionals:

1. Flash Cookies are hard to delete
2. Flash Cookies are not kept private by browser 'private browsing' modes
3. Flash Cookies leak information from browser to browser
4. Flash Cookies bring deleted HTTP Cookies back from the dead
5. Flash Cookies don't self-destruct
6. Flash Cookies are everywhere
7. Flash Cookies circumvent 'third-party cookie' controls

L'iPhone inclou (si s'habilita l'opció de GeoLocator) les coordenades del GPS a les fotografies fetes amb el telèfon: iPhone hides Geo Location into Images. Per a poder veure aquestes coordenades només cal un programa que permeti visualitzar la informació Exif de les imatges.

[Los Angeles Times]  Apple collecting, sharing iPhone users' precise locations. La nova política de privadesa d'Apple inclou un paràgraf que els autoritza a recollir i emmagatzemar les dades relatives a la posició on es troben els usuaris dels telèfons mòbils iPhone i de l'iPad:

To provide location-based services on Apple products, Apple and our partners and licensees may collect, use, and share precise location data, including the real-time geographic location of your Apple computer or device. This location data is collected anonymously in a form that does not personally identify you and is used by Apple and our partners and licensees to provide and improve location-based products and services. For example, we may share geographic location with application providers when you opt in to their location services.

Some location-based services offered by Apple, such as the MobileMe “Find My iPhone” feature, require your personal information for the feature to work.

(Per proporcionar serveis de localització dels productes d'Apple, Apple i els nostres socis i titulars podran recollir, utilitzar i compartir dades de localització precisa, inclosa la ubicació geogràfica en temps real del seu ordinador o dispositiu d'Apple. Aquestes dades d'ubicació es recullen de forma anònima en una forma que no t'identifica personalment i és utilitzada per Apple i els nostres socis i titulars per proporcionar i millorar els productes basats en la localització i serveis. Per exemple, podem compartir la ubicació geogràfica als proveïdors d'aplicacions quan s'opta als seus serveis d'ubicació.

Alguns serveis de localització que ofereix Apple, com és l'aplicació "Find my iPhone" de MobileMe  requereixen la seva informació personal per tal de permetre aquesta funcionalitat).

Apple argumenta que la informació recollida no es personal (no permet un associació directa amb una persona en particular).

Si no s'accepta aquesta directriu (i la resta inclosa a la política de privadesa d'Apple), no és possible l'accés a la tenda online d'aplicacions per a l'iPhone/iPad.

Cryptome publica la guia amb els requeriments organitzatius i administratius per a interceptar  comunicacions a Suïssa: Lawful Interception of telecommunications traffic.

Publicada la memòria corresponent a l'any 2009 de l'Agència espanyola de protecció de dades.

En remarco dues anotacions:

Por otra parte en 2009 ha emergido una nueva preocupación para los ciudadanos, que se traduce en más solicitudes de tutelas de derechos ante la AEPD, en relación al derecho al olvido en Internet. En concreto, las solicitudes de ciudadanos pidiendo que se cancelen sus datos en páginas de Internet de diversa índole, u oponiéndose a que éstos sean recopilados y difundidos por buscadores de Internet se han incrementado un 200% en 2009, pasando de 18 en 2008 a 57 en 2009 (en 2007 se registraron tan sólo 3). Este dato revela que crece el interés de los ciudadanos por evitar que sus datos aparezcan en los resultados de buscadores de Internet a partir de los datos identificativos de una persona.

i entre les recomanacions a l'administració pública i al sector privat:

1. La modificación de la normativa del DNI-e para que los menores puedan acreditar su identidad electrónicamente con el fin de evitar el acceso a servicios que pueden implicar riesgos para ellos.
2. Extremar las precauciones al efectuar el recobro de deudas, evitando comunicar la deuda a compañeros de trabajo, vecinos o allegados del presunto deudor.
3. La inclusión en planes de estudio de primaria y secundaria de formación de protección de datos, privacidad e Internet, así como que Administraciones Públicas y colegios pongan a disposición de los alumnos herramientas informáticas que eviten el acceso de los menores de 14 años a servicios de Internet que requieran consentimiento paterno.
4. Potenciación por los Colegios Profesionales de mecanismos que permitan el depósito de datos de los afectados en caso de fallecimiento o desaparición de los responsables de fichero correspondientes a su ámbito profesional.

http://www.rabidgremlin.com/fbprivacy/ és una eina que calcula quin és el grau de privadesa que té el teu perfil a Facebook i ens dóna consells per a millorar-la.