Ein britischer Web-Administrator wirft dem Mobilfunkbetreiber O2 vor, die Handynummern seiner Kunden in Großbritannien an Websitebesitzer zu übermitteln. In einem Blogeintrag schreibt Lewis Peckover, die Nummern würden in HTTP-Header eingefügt, wenn sich ein Browser über einen mobilen Breitbandinternetzugang von O2 mit einem Webserver verbinde.
Der Header enthalte die Zeichenfolge „x-up-calling-line-id:“ gefolgt von der Handynummer im Klartext. In seinem Blog veröffentlichte er zudem ein Skript, mit dem festgestellt werden kann, ob andere Mobilfunkprovider ebenfalls Traffic über einen Proxy-Server leiten und dabei Handynummern in einen HTTP-Header einfügen.
O2 hat inzwischen ein technisches Problem eingeräumt. Einem Eintrag im O2-Blog zufolge wurde der Fehler behoben, was Peckover in seinem Blog bestätigte. „Wir haben es untersucht, identifiziert und heute Nachmittag beseitigt“, teilte O2 mit. Normalerweise übermittele man Handynummern nur an vertrauenswürdige Partner, um beispielsweise den Zugriff auf jugendgefährdende Inhalte zu regulieren oder die Abrechnung von Premiuminhalten zu ermöglichen. Die Daten seien zwischen dem 10. und dem 25. Januar jedoch auch an andere Websites weitergegeben worden.
„Im Rahmen von routinemäßigen Wartungsarbeiten wurden technische Änderungen eingeführt, die den unbeabsichtigten Effekt hatten, dass Websitebetreiber unter bestimmten Umständen Handynummern von Besuchern ihrer Seite sehen konnten“, heißt es weiter im O2-Blog. Davon betroffen seien Nutzer, die per 3G oder WAP, nicht aber über WLAN auf das Internet zugegriffen hätten.
Die britische Datenschutzbehörde Information Commissioner’s Office (ICO) will den Vorfall untersuchen. „Wenn Nutzer mit ihrem Mobiltelefon eine Website besuchen, dann erwarten sie nicht, dass der Website ihre Handynummern zur Verfügung gestellt werden“, so das ICO. „Bevor wir über das weitere Vorgehen entscheiden, werden wird mit O2 reden, um sie an ihre Pflicht zur Meldung von Datenverlusten zu erinnern, und um zu erfahren, was passiert ist.“ O2 wiederum kündigte an, mit dem ICO zusammenzuarbeiten.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…