Cada vez que un usuario solicita una página web, entre su navegador y el servidor que aloja dicho sitio se produce un intercambio de mensajes o peticiones. Es habitual que entre esa información que se proporciona, las cabeceras HTTP que se llaman, se incluyan datos como el navegador que se está usando, la codificación o de dónde procede esa visita, pero lo que ya no es normal es que también se incluya información tan privada como el número de teléfono cuando se accede desde el móvil.
Esto es lo que está pasando actualmente en Reino Unido, donde un cliente de la compañía O2 (filial de Telefónica por tierras inglesas) ha detectado este importante fallo de seguridad. ¿Qué significa esto? Que los usuarios de esta empresa no sólo dan a conocer su número cuando entran a una determinada web, sino que, por ejemplo, si abren un correo desde el móvil y éste incluye una imagen alojada en un servidor remoto, también enviarán los datos sin necesidad de tener que entrar a ningún sitio, sólo por descargar la imagen. Imaginaos el peligro que puede tener esto.
Desde O2 parecen ser conscientes del problema de privacidad (y de las posibles consecuencias legales que les pueda acarrear éste) y ya han comenzado a solucionar el problema. Alguno de sus clientes ya afirman no estar afectados por esto, pero otros aún siguen sufriéndolo. Pero, ¿a cuento de qué activa O2 una característica de este tipo? Pues, como especulan en ThinkBroadband, podría haber sido una medida de seguridad implementada sólo para cuando los clientes acceden a sus datos y tarifas en la propia web de la compañía, pero quizás por error se extendió también al resto de sitios web.
El usuario que ha descubierto el fallo ha creado un sitio web que muestra las cabeceras intercambiadas entre navegador y servidor al realizar una petición, de tal manera que cualquiera puede ver si el fallo afecta también a su operadora de telefonía móvil (lógicamente, entrando desde una conexión de Internet móvil). Ya os adelanto que al menos en Vodafone España no está ocurriendo el mismo problema. Si queréis, podéis hacer la prueba y dejarnos los resultados en los comentarios.
En Xataka Móvil | O2 envía el número de teléfono a las páginas web que se visitan a través de la conexión de datos
En Xataka ON | Un usuario enfadado con Movistar aprovecha un agujero de seguridad XSS en la web de la operadora para protestar
Comentarios
Desde Yoigo, tampoco ocurre.
Saludos.
parece ser que a mi con vomistar tampoco me pasa, cuando lo he leido, viendo que es su filial me he temido lo peor....
Desde movistar prepago, tampoco.
Desde Orange con android (samsung galaxy mini) si que se muestra el nº de teléfono.
Pues es algo muy serio. Has contactado con el autor del enlace? Puedes subir alguna prueba (borrando tu número por supuesto)? Si Orange tiene ese problema creo que desde xataca os deberíais hacer eco. Por mi parte, os confirmo que Simyo está "limpio"
Parece que es ya conocido: http://www.eleconomista.es/CanalPDA/2012/34280/orange-sigue-revelando-el-numero-de-movil-de-sus-clientes-a-todas-las-webs-visitadas/
Kyra, antes de difundir esto no estaría de más informarse un poco y ver que hay una compañía de las grandes afectada en nuestro país
Si te fijas, yo publiqué la noticia al poco de que comenzara la polémica. En mi caso soy de Vodafone y probé, que es lo que tenía a mano. Como no pude conseguir otros teléfonos, por eso pedía a los comentaristas que lo probaran y nos comentaran los resultados. El enlace que proporcionas es posterior a mi publicación.
Tienes razón, tu post es anterior y la noticia apenas ha tenido repercusiones en los medios, así que te pido disculpas
De todas formas, no estaría de más que tratarais este tema, creo que es más importante que el de O2 ya que muchos de vuestros lectores pueden estar afectados.
Y por lo que me consta, Orange no ha dado la cara y ni siquiera han dicho si está resuelto. Mientras que O2 ya ha resuelto el problema y ha sacado una explicación y disculpas oficiales, y cuando pasó lo de carrier IQ en estados unidos en seguida todas las empresas dieron explicaciones. Pero bueno, ya se sabe que "spain is different"
Escribir un comentario
Para hacer un comentario es necesario que te identifiques: ENTRA o conéctate con FacebookConnect