Orange divulga el número de telèfon dels usuaris que accedeixen a Internet des del mòbil
Segons informa el bloc Certificate Error (veure Orange Spain disclosing user phone number), els usuaris de l'operadora de telefonia Orange que fan servir el seu telèfon mòbil per connectar-se a Internet, envien el número del telèfon al servidor al que s'estan connectant.
Quan des d'un telèfon accedim a Internet, l'operador de telefonia ens assigna una adreça IP, que pot anar variant (cada vegada que fem la connexió a Internet l'operador ens assigna una IP, que no ha de ser sempre la mateixa assignada en altres connexions; de fet, la IP pot modificar-se dins d'una mateixa connexió).
Els operadors de telefonia habitualment no donen cap informació personal sobre qui o des d'on es fa l'accés a Internet. Com a molt donen la possibilitat de fer una geolocalització, en base a la IP assignada o a informació relativa a la infraestructura de comunicacions del proveïdor.
Però segons denuncia el bloc Certificate Error, en el cas d'Orange, l'operador afegeix una capçalera HTTP que conté el número de telèfon des d'on s'està accedint a Internet (que és el número de telèfon de l'usuari).
És a dir, si accedim a Internet vía Orange, l'operador està donant al servidor web remot el nostre número de telèfon. Això únicament succeeix quan l'accés es fa via WAP (l'APN configurat al telèfon és "orangeworld"); si s'accedeix a través de GPRS això no succeeix.
Per a comprovar la informació que estem enviant als servidors web, només cal visitar aquesta pàgina. En cas d'utilitzar Orange, mireu si hi ha una capçalera anomenada X-Network-info on s'inclou el número de telèfon del mòbil.
Actualització: L'Albert Cuesta (de CanalPDA) ha contactat amb Orange i li han dit que això ja no succeeix:
El comportamiento que indicaban en el artículo (envío del MSISDN a las páginas solicitadas desde móvil) ocurría sólo para algún caso residual que aún utilizaba la antigua plataforma de WAP y, en todo caso, el problema derivado de la migración a una nueva de plataforma WAP está solucionado. Esta situación ya no se da, y el envío de datos de clientes se realiza de modo completamente seguro mediante encriptación.













