Użytkownicy telefonów komórkowych brytyjskiej sieci O2 z zaskoczeniem odkryli, że każdemu zapytaniu do dowolnego serwera www wysłanemu z ich telefonów poprzez sieć 3g towarzyszy dodatkowy nagłówek, zawierający ich numer telefonu.
Wstępna analiza problemu wykazała, że do każdego zapytania HTTP dołączany jest nagłówek HTTP_X_UP_CALLING_LINE_ID, zawierający numer telefonu karty znajdującej się w aparacie. Problem dotyczył jedynie połączeń realizowanych za pośrednictwem sieci komórkowej – podczas używania WiFi nagłówek się nie pojawiał. Dalsze badania wykazały, że nagłówek jest dodawany nie przez telefon lub niezależne oprogramowanie na nim działające, lecz jest dopisywany na serwerach operatora sieci.
Sieć O2 początkowo wydawała się zaskoczona problemem, lecz obiecała szybką jego analizę. Po kilkunastu godzinach okazało się, że ta „dodatkowa funkcjonalność” została wyłączona. O2 przygotowało wyjaśnienia dla klientów, z których wynikało, że sytuacja powstała przypadkiem. Z założenia numer miał być udostępniany jedynie serwisom zaufanym, w celu np. naliczania płatności za pobrania materiałów multimedialnych lub weryfikacji wieku użytkownika. Wskutek błędu konfiguracyjnego, między 10 a 25 stycznia nagłówek był przekazywany wszystkim serwisom.
Okazuje się, że temat dodatkowych informacji ujawnianych zbyt dużej liczbie odbiorców nie jest nowy – pierwsze ślady wskazujące na takie praktyki były już opisane w prezentacji Collina Mullinera w roku 2010. Jak się okazało, słusznie zwrócił już wtedy uwagę na istniejące zagrożenia dla prywatności użytkowników.
Wszystkich ciekawskich lub obawiających się zbyt dużej ilości informacji opuszczających ich telefon lub inną przeglądarkę zapraszamy do samodzielnego sprawdzenia, co wysyłają w świat przeglądając strony www. Wyniki możecie wkleić w komentarzach.