BandaAncha.eu

  • 🔍 en 📰 artículos ⏎
  • 🔍 en 👇 este 📰 artículo ⏎
  • 🔍 en 💬 foros ⏎
Regístrate Regístrate Identifícate Identifícate
  • 📰 Artículos

Orange revela tu número a las webs que visitas desde el móvil

Luis

logo_orange_retall_6.jpgActualización: Orange asegura que el problema está solucionado y que se trata de casos "residuales" que utilizan la "antigua plataforma de WAP".

Por la configuración de su servicio, Orange está mostrando a cualquier web el número de teléfono del usuario que navega por WAP con su teléfono, una práctica que ha detectado el blog Certificate Error.

El blogger, que está elaborando un estudio sobre cómo los diversos operadores de telefonía móvil identifican a los usuarios en la red y las modificaciones que hacen para tal fin en las cabeceras del protocolo HTTP que se encarga de las peticiones web, ha comprobado que la división de Orange en España no está protegiendo bien la identidad de los clientes.

Tal y como comenta "xuf", hay dos métodos principales para la reconocer a los usuarios, basándose en qué tipo de webs se acceden.

Para los sitios internos seguros se hace con el número de teléfono real en una de las cabeceras de HTTP, pero para el resto de la red, se utiliza normalmente un identificador temporal generado que enmascara los datos reales del usuario.

Pues bien, según las pruebas que ha estado realizando, en Orange España se utiliza para toda la red el número de teléfono real del cliente usando una conexión WAP, con lo que cualquier administrador puede acceder fácilmente a este dato. Una consecuencia sería la posibilidad de empezar a recibir SMS o llamadas con publicidad que no nos interesa de una empresa a la que no hemos dado nuestros datos conscientemente.

Content-length: 0
Via: WTP/1.1 nwg2 (Nokia WAP Gateway 4.1/CD21/4.1.116)
X-Network-info: CSD,34xxxxxxxxx,unsecured
X-Nokia-CONNECTION_MODE: TCP
X-Nokia-BEARER: CSD
X-Nokia-GATEWAY_ID: NWG/4.1/Build116
x-nokia.wia.accept.original: text/html,text/vnd.wap.wml,application/vnd.wap.html+xml,application/xhtml+xml,application/vnd.wap.xhtml+xml,text/x-wap.wml,text/x-hdml,text/vnd.sun.j2me.app-descriptor,application/java-archive,application/octet-stream,image/png,image/gif,image/jpg,image/jpeg,*/*,text/x-vCard,text/x-vCalendar,image/vnd.wap.wbmp
Connection: close
x-up-calling-line-id:{REMOVED}

Por lo visto, en la cabecera "x-up-calling-line-id" sí emplea un identificador temporal que cambia cada 24 horas, pero además en el campo "X-Network-info" se revela el número de abonado con el código de país correspondiente.

"xuf", el autor del blog, dice que se puso en contacto con Orange España hace ya más de un mes para advertirles del fallo en la configuración, pero todavía no habría sido corregido.

Orange niega el problema

Desde la operadora aseguran que es un problema "residual" que quedó solucionado al migrar a la nueva plataforma WAP.

El comportamiento que indicaban en el artículo (envío del MSISDN a las páginas solicitadas desde móvil) ocurría sólo para algún caso residual que aún utilizaba la antigua plataforma de WAP y, en todo caso, el problema -derivado de la migración a una nueva de plataforma wap- está solucionado. Esta situación ya no se da, y el envío de datos de clientes se realiza de modo completamente seguro mediante encriptación.

💬 Comentarios

1
BocaDePez
BocaDePez
1

Yo nunca conseguí que Orange resolviera ninguno de los problemas que tenía en su web. El autor de este blog no creo que lo consiga, por muy grave que sean los hechos revelados. Es más, casi siempre la respuesta era "en este momento se están llevando a cabo mejoras en el servicio. Tiene que esperar". Cuando volvía a funcionar, yo no veía nada distinto, pero lo de las mejoras quedaba muy bien como excusa.

🗨️ 1
BocaDePez
BocaDePez

Zas! en toda la boca

pepone1234
1

¿esto también pasa con las OMV que usan cobertura orange?

🗨️ 1
Calario

dependera de si la omv usa la infraestructura de acceos a datos de orange

a carrefour la pasara seguro (si usa los apn problematicos) pero a simyo no creo que le pase

BocaDePez
BocaDePez
2

Parece que el problema se conoce desde hace meses y como no han hecho nada, ni parece que vayan a hacerlo, quizá algún cliente debería ponerlo en conocimiento de la Agencia de Protección de Datos y que los animen a solucionarlo con 60.000 leurazos.

PD: En un comentario de la fuente de la noticia hay un enlace para comprobar si nuestro terminal tiene ese problema: mulliner.org/pc.cgi

BocaDePez
BocaDePez
2

He usado un comprobador de cabeceras desde mi nexus one y no sale nada.

Creo que esto debe afectar a la gente navegando con wap (APN 'orangeworld'), que pasa por un proxy, nada más. Los que usamos el APN 'internet' parece que no estamos afectados, es conexión directa a internet.

🗨️ 6
Luis
2

en efecto, es por WAP, se me pasó ponerlo :(

Mis disculpas

🗨️ 4
BocaDePez
BocaDePez
-1

Pues no deberías cometer esos errores sinceramente. Creo que al publicar una cosa hay que comprobar antes cuando, como y porque ocurre.

🗨️ 3
Josh
0

No es un error, es una omisión. La fuente tiene suficiente credibilidad y por eso lo publicamos. Si tu no se la das, simplemente no te creas la noticia.

🗨️ 2
BocaDePez
BocaDePez
-1

Una duda....

¿Cuando dices omisión debemos dar por hecho que es intencionada?.

Gracias.

🗨️ 1
Josh
0
Calario

¡toma ya!

si usas un apn no hay conexion directa a internet

te recomiendo encarecidamente que te documentes sobre el funcionamiento de las conexiones de datos gsm y umts

BocaDePez
BocaDePez
-3
🗨️ 15
BocaDePez
BocaDePez
0

todo lo que sea criticar contra Orange y venga y venga. Hace pocos dias con el artículo de la cobertura.

Orange gana clientes mes tras mes y más que va a ganar con el iphone 4, como duele.

🗨️ 3
filem0n
2

Es bueno que lo saquen porque así mejoran. Si no fuera por esta gente los chicos malos hacían los que querían porque de la policía se ríen en su cara.

Orange ahora lo arreglará porque sino mas de un cliente se irá o los denunciará por incumplir la LOPD. Puede parecer una chorrada pero a mucha gente le molesta que sus datos estén a disposición de cualquiera.

🗨️ 2
BocaDePez
BocaDePez
2

A mi me molesta muchísimo por las consecuencias que acarrea...un despiste y tienes spam de cualquier tipo.
Yo soy de los que denuncia y si me entero de una cosa así ...para mí ya han terminado de por vida.

BocaDePez
BocaDePez
2

Estoy contigo. No es lo mismo un numero de movil que la IP , por la IP no te llega spam y llamadas no deseadas.... Que corrijan y adelante. Llevo con orange mas de 8 años . Pero la cobertura es limitada y internet el mas caro.... Las tarifas de llamadas también son muy caras , como no se espabilen la gente se irá a MasMovil o PepePhone.

BocaDePez
BocaDePez
1

Pues sí que pasa si tienen mi número por ahí. Estoy pendiente de confirmar si los problemas q estoy teniendo son por éste motivo. Desde hace un mes me llegan sms con pasajes de la biblia en inglés que me ponen de muy mala leche... y si es por culpa de Orange, me toca mucho la moral... porque no tiene solución. Esa gente ya tiene mi número pa mandarme nuevo y antiguo testamento hasta el fin de los días.

Si es culpa de éste error, voy a hacer todo lo posible por joderles.

🗨️ 5
BocaDePez
BocaDePez
1

xDDDDDDDDDD

BocaDePez
BocaDePez

Estos mensajes les llega a los que son de Movistar, Vodafone y las OMV A TODOS

BocaDePez
BocaDePez

Manda no+mandamientos al 556979593832

Calario

cualquiera puede enviar cualquier cosa a cualquier numero porque la numeracion es publica

es como si te llaman al telefonillo de casa o si te envian una carta al buzon

lo mismo lo mismo

otra cosa es que haya nuevas normativas sobre el spam buzoneo y cosas asi pero a ver si nos entra en la cabecita que para que alguien envien algo a un numero de telefono buzon de correo buzon fisico etc no tienen que saber quien es el propietario

BocaDePez
BocaDePez

hazte religioso, mira el lado positivo :P

Mocho
1

Se identifican con el identificador temporal excepto en páginas internas seguras, si lees el artículo queda bastante bien explicado.

BocaDePez
BocaDePez

Con la IP no te mandan SMS de pago ni emails de pago, jeje.

Sabiendo el número de móvil, la cosa puede costarte dinero, ya que si te mandan SMS Premium te cobran cada envío y es problemático dar de baja el servicio. Y no es ninguna posibilidad remota ya que hay gente que recibe esos SMS si haberse dado de alta en ningún sitio.

Tal vez Orange cobre algo de comisín con esos servicios, por lo que le interesa que suceda.

🗨️ 2
BocaDePez
BocaDePez

No te pueden mandar mensajes premium si no te has dado de alta previamente con un mensaje que ponga ALTA. Sino, menudo chollo. Mando mensajes premiun empezando por el 600 000 000 y terminando en el 699 999 999 y me forro.

Claro que Orange cobra comisión, o te crees que vive del aire. Parte de lo que tu pagas por los premium se lo queda Orange, de hecho se queda la mayor parte. Orange y todos, claro.

🗨️ 1
BocaDePez
BocaDePez

Eso lo hacen y cierran la empresa al segundo día y se sacan unos cuartos. Para evitarlo lo único que se puede hacer es prohibir los SMS a números de tarificación adicional. Además te suscriben y te suelen cobrar entre 10 y 20 euros más en la factura al mes.

Calario

wap es un protocolo de presentacion asi que eso que llamas "conexiones wap" no existe

BocaDePez
BocaDePez
1

Yo nunca he visto el numero en las cabeceras HTTP en una conexion de orange, sera en conexion WAP

BocaDePez
BocaDePez
-1

Algunos de aquí critican a cierta página supuestamente pagada por jazztel pero aquí ultimamente ni que os pagara vodafone o la misma movistar....Me gustaría saber que conocimientos del tema tiene el autor de esta noticia y si el mismo ha comprobado que así ocurre...

🗨️ 1
Mocho
2

Si es a la que creo que te refieres el supuestamente se queda un poco corto desde el momento en que tienen una tienda online que ha estado años vendiendo solo Jazztel (hace poco ha añadido Vodafone) y una tienda física que también vende solo Jazztel, la web está saturada de publicidad de sus tiendas y hacen continuamente unos publireportajes sobre ese operador en portada bastante descarados.

La noticia no es propia del redactor, por eso cita su fuente (aquí se citan aunque parezca sorprendente) y es el autor del artículo original quien lo ha publicado bajo su nombre y quien lo ha comprobado, de la misma forma que si un periodista de cualquier diario cita datos de una investigación judicial no revisa si la han hecho bien o no ;)

BocaDePez
BocaDePez
1

Pues es un putadón, con eso de que los "smartphones" de las noticias anteriores estan de moda para navegar.

eso de pillar un movil por 4 duros de subasta y ponerse una tarifa de internet, no va tan conveniente... Al menos con las sangijuelas de Orange que además de chuparte la sangre van dando tus datos por ahí.

No sé hasta que punto seria delito, ya que estan publicando tus datos personales.

davidsm90
1

Acabo de comprobarlo en mi smarphone y es cierto el perfil WAP lo marca en rojo pero no encuentro mi numero por ningun sitio pero con el perfil internet ningun problema

Spain8
1

que cabrones.

alezz
1

Le estais dando muchas vueltas pero quedaros con lo importante:

- Hace mas de un mes alguien se dio cuenta de este fallo y se lo notificó a Orange.

- Se le ha dejado un mes de cortesía a Orange para que repare este problema antes de hacerlo publico.

- Orange ha hecho caso omiso y hasta que no se ha hecho público no han tomado cartas en el asunto.

- Una vez lo han arreglado han lanzado una columna de humo, haciendo enfasis en "el envío de datos de clientes se realiza de modo completamente seguro", cuando esto no viene al caso, ya que de lo que estamos hablando es de una cabecera que estaba cuando no debería estar. Esto da que pensar de que quien hizo el comunicado no sabe ni remotamente de que va el tema.

En fin, si nos enteramos de esto.. ¿cuantos fallos de seguridad se le habrán notificado al dpto. de seguridad de Orange y han hecho caso omiso?

¿Que hubiera pasado si el tipo que descubrio este fallo, al ver que en orange no le hacian ni caso, en vez de hacerlo publico hubiera dedicido lucrarse con el?

¿Que pasa con security@orange.es? ¿Acaso está deslocalizado también su departamento de seguridad logica?

1