Al parecer las conexiones web hechas desde dispositivos móviles de Orange, utilizando su red, incluyen en los headers HTTP el número de teléfono del dispositivo.
Orange España revela el número de teléfono del usuario
Actualmente estoy evaluando cómo los operadores móviles modifican y enriquecen los encabezados HTTP. Ya he analizado los principales operadores en Francia, Alemania, Italia, España y Reino Unido, con resultados muy interesantes que voy a publicar pronto.
El objetivo del estudio es doble, por un lado, comprobar cómo los usuarios se identifican utilizando las conexiones móviles para navegar por la web y en segundo lugar, las modificaciones que los operadores hacen a los encabezados HTTP como el User-Agent, Aceptar, Accept-Encoding ...
En cuanto a la identificación del usuario a los operadores móviles normalmente tienen dos métodos dependiendo desde el sitio que el usuario está accediendo. Para los emplazamientos internos de confianza se agrega el usuario MSISDN (el número de teléfono) en una cabecera HTTP como x-up-de la línea-id, x-up-subno, x-nokia-MSISDN o una propiedad de uno, mientras que para el resto la identidad del usuario, y con el fin de proteger, ellos agregan un identificador temporal en el lugar. Eso ayudará a la página web a seguir la actividad del usuario durante una sesión de navegación, pero evitará que la página web tenga plena identificación del usuario.
Durante la evaluación, en mi opinión, Orange España está añadiendo el MSISDN usuario en cualquier petición HTTP enviada en su red. Esto significa que es realmente simple obtener el número de teléfono del usuario, de un usuario de Orange España. Por un lado, vi que Orange España utiliza el encabezado x-up-de la línea de ID para agregar un identificador de usuario temporal que cambia cada 24 horas, pero me pareció también que en cualquier solicitud HTTP agrega el número de teléfono del usuario en el encabezado X-Red-info.
Copio a continuación un ejemplo de los encabezados donde saqué algo de información. En verde se encuentran las cabeceras de añadir por mi rastreador, mientras que en rojo puedes ver las cabeceras adicionales agregados por el Orange España WAP Gateway:
Anfitrión: () eliminado
TE: gzip desinflarse; q = 0,3
Aceptar: text / html, text / vnd.wap.wml, application / xml + vnd.wap.html, application / xhtml + xml, application / xml + vnd.wap.xhtml, text / x-texto wap.wml, / x-HDML, text/vnd.sun.j2me.app-descriptor, application / java-archive, application / octet-stream, image / jpeg, image / gif, image / jpg, image / jpeg, * / *, texto / x-vcard, text / x-vCalendar, imagen / vnd.wap.wbmpAccept-Charset: iso-8859-1, utf-8
Accept-Language: es-es, es; q = 0,5
User-Agent: HeaderValidator/1.1
Content-length: 0
Via: WTP/1.1 nwg2 (Nokia WAP Gateway 4.1/CD21/4.1.116)
X-Red-info: CSD, 34xxxxxxxxx, sin garantía
X-Nokia-CONNECTION_MODE: TCP
X-Nokia-AL PORTADOR: CSD
X-Nokia-GATEWAY_ID: NWG/4.1/Build116
x-nokia.wia.accept.original: text / html, text / vnd.wap.wml, application / xml + vnd.wap.html, application / xhtml + xml, application / xml + vnd.wap.xhtml, texto / x-texto wap.wml, / x-HDML, text/vnd.sun.j2me.app-descriptor, application / java-archive, application / octet-stream, image / jpeg, image / gif, image / jpg, image / jpeg texto ,*/*, / x-vCard, text / x-vCalendar, imagen / vnd.wap.wbmp
Conexión: cerrar
x-up-de la línea-id: () eliminado
Proponer una traducción mejor
Gracias por proponer una traducción al Traductor de Google.
Sugiere una traducción mejor:
Orange España revelar el número de teléfono del usuario Actualmente estoy evaluando cómo los operadores móviles modificar y enriquecer los encabezados HTTP. Ya he analizado los principales operadores en Francia, Alemania, Italia, España y Reino Unido, con resultados muy interesantes voy a publicar pronto. El enfoque del estudio es doble, por un lado, comprobar cómo los usuarios se identifican utilizando las conexiones móviles para navegar por la web y en segundo lugar, las modificaciones que los operadores hacen a los encabezados HTTP como el User-Agent, Aceptar, Accept-Encoding ... En cuanto a la identificación del usuario a los operadores móviles normalmente tienen dos métodos dependiendo del sitio que el usuario está accediendo. Para los emplazamientos internos de confianza que se agregue el usuario MSISDN (el número de teléfono) en una cabecera HTTP como x-up-de la línea-id, x-up-subno, x-nokia-MSISDN o una propiedad de uno, mientras que para el resto identidad del usuario, y con el fin de proteger, ellos se agrega un identificador temporal en lugar. Eso ayudará a la página web para seguir la actividad del usuario durante una sesión de navegación, pero evitará que la página web de plena identificación del usuario. Durante la evaluación en mi opinión, Orange España está añadiendo el MSISDN usuario en cualquier petición HTTP enviada en su red. Esto significa que es realmente simple de obtener el número de teléfono del usuario de un usuario de Orange España. Por un lado, vi que Orange España se utiliza el encabezado x-up-de la línea de ID para agregar un identificador de usuario temporal que cambia cada 24 horas, pero me pareció también que en cualquier solicitud HTTP que se agregue el número de teléfono del usuario en el encabezado X-Red-info. Copio a continuación un ejemplo de los encabezados donde saqué algo de información. En verde se encuentran las cabeceras de añadir por mi rastreador, mientras que en rojo puedes ver las cabeceras adicionales agregados por el Orange España WAP Gateway: Anfitrión: () eliminado TE: gzip desinflarse; q = 0,3 Aceptar: text / html, text / vnd.wap.wml, application / xml + vnd.wap.html, application / xhtml + xml, application / xml + vnd.wap.xhtml, text / x-texto wap.wml, / x-HDML, text/vnd.sun.j2me.app-descriptor, application / java-archive, application / octet-stream, image / jpeg, image / gif, image / jpg, image / jpeg, * / *, texto / x-vcard, text / x-vCalendar, imagen / vnd.wap.wbmpAccept-Charset: iso-8859-1, utf-8 Accept-Language: es-es, es; q = 0,5 User-Agent: HeaderValidator/1.1 Content-length: 0 Via: WTP/1.1 nwg2 (Nokia WAP Gateway 4.1/CD21/4.1.116) X-Red-info: CSD, 34xxxxxxxxx, sin garantía X-Nokia-CONNECTION_MODE: TCP X-Nokia-AL PORTADOR: CSD X-Nokia-GATEWAY_ID: NWG/4.1/Build116 x-nokia.wia.accept.original: text / html, text / vnd.wap.wml, application / xml + vnd.wap.html, application / xhtml + xml, application / xml + vnd.wap.xhtml, texto / x-texto wap.wml, / x-HDML, text/vnd.sun.j2me.app-descriptor, application / java-archive, application / octet-stream, image / jpeg, image / gif, image / jpg, image / jpeg texto ,*/*, / x-vCard, text / x-vCalendar, imagen / vnd.wap.wbmp Conexión: cerrar x-up-de la línea-id: () eliminado
En mi caso las cabeceras van limpias, es posible que el WAP Gateway las ensucie ... es decir, es posible que afecte a teléfonos que hagan uso de conexión WAP.
En el caso de teléfonos que hagan uso del APN "Orange Internet" no parece existir ningún proxy intermedio que añada cabeceras con ningún dato sensible.
Dado que no tengo la configuración del APN WAP, no puedo hacer muchas más pruebas, pero la conclusión es esa, aquellos que acceden directamente a internet mediante el APN "Orange Internet" a fecha de hoy pueden estar tranquilos, sus datos personales no están siendo expuestos.
#9 pos que si te conectas husando wap con la Oranje, cualquie wibmaster pue sabe tu numero telefono y llamate para bendete encilopidias o cacerolas Iber.
Comentarios
¿Y la Agencia Española de Protección de Datos qué dice de todo esto?
Me parece un atentado a la privacidad de cuidado.
Actualización: Orange asegura que el problema está solucionado y que se trata de casos "residuales" que utilizan la "antigua plataforma de WAP"
Del traductor google con correcciones rapidas:
Orange España revela el número de teléfono del usuario
Actualmente estoy evaluando cómo los operadores móviles modifican y enriquecen los encabezados HTTP. Ya he analizado los principales operadores en Francia, Alemania, Italia, España y Reino Unido, con resultados muy interesantes que voy a publicar pronto.
El objetivo del estudio es doble, por un lado, comprobar cómo los usuarios se identifican utilizando las conexiones móviles para navegar por la web y en segundo lugar, las modificaciones que los operadores hacen a los encabezados HTTP como el User-Agent, Aceptar, Accept-Encoding ...
En cuanto a la identificación del usuario a los operadores móviles normalmente tienen dos métodos dependiendo desde el sitio que el usuario está accediendo. Para los emplazamientos internos de confianza se agrega el usuario MSISDN (el número de teléfono) en una cabecera HTTP como x-up-de la línea-id, x-up-subno, x-nokia-MSISDN o una propiedad de uno, mientras que para el resto la identidad del usuario, y con el fin de proteger, ellos agregan un identificador temporal en el lugar. Eso ayudará a la página web a seguir la actividad del usuario durante una sesión de navegación, pero evitará que la página web tenga plena identificación del usuario.
Durante la evaluación, en mi opinión, Orange España está añadiendo el MSISDN usuario en cualquier petición HTTP enviada en su red. Esto significa que es realmente simple obtener el número de teléfono del usuario, de un usuario de Orange España. Por un lado, vi que Orange España utiliza el encabezado x-up-de la línea de ID para agregar un identificador de usuario temporal que cambia cada 24 horas, pero me pareció también que en cualquier solicitud HTTP agrega el número de teléfono del usuario en el encabezado X-Red-info.
Copio a continuación un ejemplo de los encabezados donde saqué algo de información. En verde se encuentran las cabeceras de añadir por mi rastreador, mientras que en rojo puedes ver las cabeceras adicionales agregados por el Orange España WAP Gateway:
Anfitrión: () eliminado
TE: gzip desinflarse; q = 0,3
Aceptar: text / html, text / vnd.wap.wml, application / xml + vnd.wap.html, application / xhtml + xml, application / xml + vnd.wap.xhtml, text / x-texto wap.wml, / x-HDML, text/vnd.sun.j2me.app-descriptor, application / java-archive, application / octet-stream, image / jpeg, image / gif, image / jpg, image / jpeg, * / *, texto / x-vcard, text / x-vCalendar, imagen / vnd.wap.wbmpAccept-Charset: iso-8859-1, utf-8
Accept-Language: es-es, es; q = 0,5
User-Agent: HeaderValidator/1.1
Content-length: 0
Via: WTP/1.1 nwg2 (Nokia WAP Gateway 4.1/CD21/4.1.116)
X-Red-info: CSD, 34xxxxxxxxx, sin garantía
X-Nokia-CONNECTION_MODE: TCP
X-Nokia-AL PORTADOR: CSD
X-Nokia-GATEWAY_ID: NWG/4.1/Build116
x-nokia.wia.accept.original: text / html, text / vnd.wap.wml, application / xml + vnd.wap.html, application / xhtml + xml, application / xml + vnd.wap.xhtml, texto / x-texto wap.wml, / x-HDML, text/vnd.sun.j2me.app-descriptor, application / java-archive, application / octet-stream, image / jpeg, image / gif, image / jpg, image / jpeg texto ,*/*, / x-vCard, text / x-vCalendar, imagen / vnd.wap.wbmp
Conexión: cerrar
x-up-de la línea-id: () eliminado
Proponer una traducción mejor
Gracias por proponer una traducción al Traductor de Google.
Sugiere una traducción mejor:
Orange España revelar el número de teléfono del usuario Actualmente estoy evaluando cómo los operadores móviles modificar y enriquecer los encabezados HTTP. Ya he analizado los principales operadores en Francia, Alemania, Italia, España y Reino Unido, con resultados muy interesantes voy a publicar pronto. El enfoque del estudio es doble, por un lado, comprobar cómo los usuarios se identifican utilizando las conexiones móviles para navegar por la web y en segundo lugar, las modificaciones que los operadores hacen a los encabezados HTTP como el User-Agent, Aceptar, Accept-Encoding ... En cuanto a la identificación del usuario a los operadores móviles normalmente tienen dos métodos dependiendo del sitio que el usuario está accediendo. Para los emplazamientos internos de confianza que se agregue el usuario MSISDN (el número de teléfono) en una cabecera HTTP como x-up-de la línea-id, x-up-subno, x-nokia-MSISDN o una propiedad de uno, mientras que para el resto identidad del usuario, y con el fin de proteger, ellos se agrega un identificador temporal en lugar. Eso ayudará a la página web para seguir la actividad del usuario durante una sesión de navegación, pero evitará que la página web de plena identificación del usuario. Durante la evaluación en mi opinión, Orange España está añadiendo el MSISDN usuario en cualquier petición HTTP enviada en su red. Esto significa que es realmente simple de obtener el número de teléfono del usuario de un usuario de Orange España. Por un lado, vi que Orange España se utiliza el encabezado x-up-de la línea de ID para agregar un identificador de usuario temporal que cambia cada 24 horas, pero me pareció también que en cualquier solicitud HTTP que se agregue el número de teléfono del usuario en el encabezado X-Red-info. Copio a continuación un ejemplo de los encabezados donde saqué algo de información. En verde se encuentran las cabeceras de añadir por mi rastreador, mientras que en rojo puedes ver las cabeceras adicionales agregados por el Orange España WAP Gateway: Anfitrión: () eliminado TE: gzip desinflarse; q = 0,3 Aceptar: text / html, text / vnd.wap.wml, application / xml + vnd.wap.html, application / xhtml + xml, application / xml + vnd.wap.xhtml, text / x-texto wap.wml, / x-HDML, text/vnd.sun.j2me.app-descriptor, application / java-archive, application / octet-stream, image / jpeg, image / gif, image / jpg, image / jpeg, * / *, texto / x-vcard, text / x-vCalendar, imagen / vnd.wap.wbmpAccept-Charset: iso-8859-1, utf-8 Accept-Language: es-es, es; q = 0,5 User-Agent: HeaderValidator/1.1 Content-length: 0 Via: WTP/1.1 nwg2 (Nokia WAP Gateway 4.1/CD21/4.1.116) X-Red-info: CSD, 34xxxxxxxxx, sin garantía X-Nokia-CONNECTION_MODE: TCP X-Nokia-AL PORTADOR: CSD X-Nokia-GATEWAY_ID: NWG/4.1/Build116 x-nokia.wia.accept.original: text / html, text / vnd.wap.wml, application / xml + vnd.wap.html, application / xhtml + xml, application / xml + vnd.wap.xhtml, texto / x-texto wap.wml, / x-HDML, text/vnd.sun.j2me.app-descriptor, application / java-archive, application / octet-stream, image / jpeg, image / gif, image / jpg, image / jpeg texto ,*/*, / x-vCard, text / x-vCalendar, imagen / vnd.wap.wbmp Conexión: cerrar x-up-de la línea-id: () eliminado
Una fuente en español: http://bandaancha.eu/articulo/7444/orange-revela-tu-numero-webs-visitas-movil
GET /headers.php HTTP/1.1
Host: xxx.xxx.xx
Accept-Encoding: gzip
Accept-Language: es-ES, en-US
Accept: application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5
User-Agent: Mozilla/5.0 (Linux; U; Android 2.1-update1; es-es; GT-I5700 Build/ECLAIR) AppleWebKit/530.17 (KHTML, like Gecko) Version/4.0 Mobile Safari/530.17
Accept-Charset: utf-8, iso-8859-1, utf-16, *;q=0.7
En mi caso las cabeceras van limpias, es posible que el WAP Gateway las ensucie ... es decir, es posible que afecte a teléfonos que hagan uso de conexión WAP.
#2 Continuo editando:
En el caso de teléfonos que hagan uso del APN "Orange Internet" no parece existir ningún proxy intermedio que añada cabeceras con ningún dato sensible.
Dado que no tengo la configuración del APN WAP, no puedo hacer muchas más pruebas, pero la conclusión es esa, aquellos que acceden directamente a internet mediante el APN "Orange Internet" a fecha de hoy pueden estar tranquilos, sus datos personales no están siendo expuestos.
Efectivamente solo afecta a conexiones residuales que siguen usando WAP, el resto no:
GET/POST Headers -> http://matiz.org/tiopaco
Tengo Orange y me conecto a internet desde el movil, ¿puede alguien resumirme el artículo en cristiano?
#9 ¿Más?
#9 pos que si te conectas husando wap con la Oranje, cualquie wibmaster pue sabe tu numero telefono y llamate para bendete encilopidias o cacerolas Iber.