Британская сотовая компания O2 предоставляет веб-сайтам номера телефонов клиентов [обновлено]
O2, когда-то Apple эксклюзивный реселлер iPhone в Великобритании., был пойман на раскрытии телефонных номеров пользователей в заголовках, отправляемых на веб-сайты, которые клиенты посещают во время использования его сети 3G.
Системный администратор в Лондоне Льюис Пековер обнаружил проблему вчера, исследуя способы узнать, находится ли посетитель веб-сайта на определенном устройстве или в сети. Оказывается, это действительно просто, если посетители находятся на O2.
Пековер создал простой демонстрационный скрипт который распечатывает сведения о получаемых заголовках. Все выглядит нормально, если вы заходите на его страницу со своего компьютера, но когда клиент O2 попадает на страницу из сети 3G, появляется дополнительный заголовок:
Заголовок «x-up-call-line-id», говорит Пековер, передается веб-мастеру каждого посещаемого веб-сайта. Eeek.
Излишне говорить, что людей это довольно тревожит, и сегодня утро затоплено.
Аккаунт O2 в Twitter с требованиями объяснений. O2 быстро ответила потоком @ -ответов заинтересованным пользователям (на фото выше) и заявила, что начала расследование. Мы обновим эту публикацию, как только услышим что-нибудь еще.Хотя заголовок, кажется, вставляется независимо от используемого мобильного устройства, это коснется многих владельцев iPhone в Великобритании из-за прежней исключительности O2 как продавца iPhone. У многих людей (в том числе и у меня) есть действующие контракты на O2, которые были впервые заключены еще в те дни, когда было невозможно получить iPhone от кого-либо еще.
ОБНОВИТЬ: Похоже, это было известен людям в Sophos с некоторого времени.
ОБНОВЛЕНИЕ 2: Оказывается, это был неожиданный и незамеченный результат некоторого негласного обслуживания. O2, к его чести, исправил ошибку и сказал прости.