Sicherheitslücke

Großbritannien: O2 schickte Handynummern im HTTP-Header mit

Bericht | 26. Jänner 2012, 13:06

Der Mobilfunkbetreiber hat die Handynummern seiner Kunden an Webseiten weitergeleitet - Problem behoben

Wie gestern bekannt wurde, schickte der Mobilfunker O2 in Großbritannien die Telefonnummer seiner Kunden im HTTP-Header mit, wenn diese eine Webseite besuchten. Im HTTP-Header stehen normalerweise Informationen darüber, wie der Inhalt auf dem verwendeten Gerät dargestellt werden kann. Normalerweise werden diese Informationen nicht von den Webseiten gespeichert, aber datenschutzrechtlich ist es dennoch bedenklich.

Stellungnahme

O2 hat mittlerweile eine Stellungnahme veröffentlicht. Der Konzern schreibt, dass die Handynummern nur an bestimmte vertrauenswürdige Partner weitergeleitet werden. Das geschieht aus drei Gründen: Um das Alter zu verifizieren und Zugang zu Inhalt für Erwachsene zu gewähren. Damit Partner Premium-Inhalt wie Downloads oder Klingeltöne verrechnen können und um Kunden zu identifizieren, wenn sie O2-Services nutzen.

Problem behoben

Die Telefonnummer wird nur bei einer O2-Datenverbindung mitgeschickt. Surft man über WLAN, werden die Informationen nicht weitergeleitet. Das sei in der Branche so üblich, schreibt O2. Zwischen dem 10. Jänner und 14:00 Uhr am 25. Jänner waren die Informationen aber auch für andere Webseiten-Betreiber sichtbar. Das Problem wurde aber bereits behoben. (soc)

Links

thinkbroadband

O2-Stellungnahme

derStandard.at/Web auf Facebook
Kommentar posten
5 Postings
/dev/urandom
+
-
00
26.1.2012, 13:51
antworten
permalink
melden
Aja - zur Altersfeststellung

Völlig klar, in meiner Mobilfunknummer ist ja auch mein Geburtsdatum einkodiert.

Klingt für mich eher nach Missbrauch, wenn O2 Geburtsdaten mit Partnern tauscht - noch dazu mit solchen aus dem Adult-Bereich (die ja für ihre Seriosität bekannt sind).

Starsucker
+
-
00
26.1.2012, 14:03
antworten
permalink
melden

Ich vermute, man hat die Mobilfunknummer wie einen Hashwert benutzt. Also quasi als eindeutige ID, über die man dann in der Kundendatenbank die notwendigen Profildaten wie Alter usw. abfragen kann.

Da hat wohl jemand Zeit sparen wollen und dabei die Datensicherheit aufs SPiel gesetzt.
Ob ein Mobilfunker Geburtsdaten mit solchen Anbietern tauschen sollte, weiss ich nicht. Gibts keine Altersbeschränkung, regen sich ja erst recht alle auf. Zumindest wäre es notwendig, solche Weitergaben in den AGBs festzuhalten.

Börek Obama
+
-
01
26.1.2012, 13:42
antworten
permalink
melden

:) die handybetreiber geben alles raus wenn genug bares dahinter steht...

Aso?Echt!
+
-
00
26.1.2012, 13:36
antworten
permalink
melden
das riecht nicht nur danach

das ist es auch.

Bundesministerium für Jenseitige Angelegenheiten
+
-
03
26.1.2012, 13:22
antworten
permalink
melden

na bravo - die nummer wird im plaintext zu verrechnungszwecken von premium-inhalten mitgeschickt, das riecht ja förmlich nach missbrauchspotential!

Die Kommentare von Usern und Userinnen geben nicht notwendigerweise die Meinung der Redaktion wieder. Die Redaktion behält sich vor, Kommentare, welche straf- oder zivilrechtliche Normen verletzen, den guten Sitten widersprechen oder sonst dem Ansehen des Mediums zuwiderlaufen (siehe ausführliche Forenregeln), zu entfernen. Der/Die Benutzer/in kann diesfalls keine Ansprüche stellen. Weiters behält sich die derStandard.at GmbH vor, Schadenersatzansprüche geltend zu machen und strafrechtlich relevante Tatbestände zur Anzeige zu bringen.

© derStandard.at GmbH 2012 - Impressum

Alle Rechte vorbehalten. Nutzung ausschließlich für den privaten Eigenbedarf.
Eine Weiterverwendung und Reproduktion über den persönlichen Gebrauch hinaus ist nicht gestattet.