Banda Ancha EU

Información independiente
sobre fibra, móvil y ADSL

hosting en interdominios

-348

Orange revela tu número a las webs que visitas desde el móvil

logo_orange_retall_6.jpgActualización: Orange asegura que el problema está solucionado y que se trata de casos "residuales" que utilizan la "antigua plataforma de WAP".

Por la configuración de su servicio, Orange está mostrando a cualquier web el número de teléfono del usuario que navega por WAP con su teléfono, una práctica que ha detectado el blog Certificate Error.

El blogger, que está elaborando un estudio sobre cómo los diversos operadores de telefonía móvil identifican a los usuarios en la red y las modificaciones que hacen para tal fin en las cabeceras del protocolo HTTP que se encarga de las peticiones web, ha comprobado que la división de Orange en España no está protegiendo bien la identidad de los clientes.

Tal y como comenta "xuf", hay dos métodos principales para la reconocer a los usuarios, basándose en qué tipo de webs se acceden.

Para los sitios internos seguros se hace con el número de teléfono real en una de las cabeceras de HTTP, pero para el resto de la red, se utiliza normalmente un identificador temporal generado que enmascara los datos reales del usuario.

Pues bien, según las pruebas que ha estado realizando, en Orange España se utiliza para toda la red el número de teléfono real del cliente usando una conexión WAP, con lo que cualquier administrador puede acceder fácilmente a este dato. Una consecuencia sería la posibilidad de empezar a recibir SMS o llamadas con publicidad que no nos interesa de una empresa a la que no hemos dado nuestros datos conscientemente.

Content-length: 0
Via: WTP/1.1 nwg2 (Nokia WAP Gateway 4.1/CD21/4.1.116)
X-Network-info: CSD,34xxxxxxxxx,unsecured
X-Nokia-CONNECTION_MODE: TCP
X-Nokia-BEARER: CSD
X-Nokia-GATEWAY_ID: NWG/4.1/Build116
x-nokia.wia.accept.original: text/html,text/vnd.wap.wml,application/vnd.wap.html+xml,application/xhtml+xml,application/vnd.wap.xhtml+xml,text/x-wap.wml,text/x-hdml,text/vnd.sun.j2me.app-descriptor,application/java-archive,application/octet-stream,image/png,image/gif,image/jpg,image/jpeg,*/*,text/x-vCard,text/x-vCalendar,image/vnd.wap.wbmp
Connection: close
x-up-calling-line-id:{REMOVED}

Por lo visto, en la cabecera "x-up-calling-line-id" sí emplea un identificador temporal que cambia cada 24 horas, pero además en el campo "X-Network-info" se revela el número de abonado con el código de país correspondiente.

"xuf", el autor del blog, dice que se puso en contacto con Orange España hace ya más de un mes para advertirles del fallo en la configuración, pero todavía no habría sido corregido.

Orange niega el problema

Desde la operadora aseguran que es un problema "residual" que quedó solucionado al migrar a la nueva plataforma WAP.

El comportamiento que indicaban en el artículo (envío del MSISDN a las páginas solicitadas desde móvil) ocurría sólo para algún caso residual que aún utilizaba la antigua plataforma de WAP y, en todo caso, el problema -derivado de la migración a una nueva de plataforma wap- está solucionado. Esta situación ya no se da, y el envío de datos de clientes se realiza de modo completamente seguro mediante encriptación.

Los comentarios más recientes se muestran primero. Haz click sobre un comentario para desplegar/plegar.
  • BocaDePez BocaDePez
    -12

    Pero que manera de alarmar .... esto solo ocurre cuando es…

    Pero que manera de alarmar .... esto solo ocurre cuando es una conexión WAP ! Solo WAP. No internet.

    Esto ha ocurrido siempre así, es parte del protocolo. Es como si ahora nos alarmamos por que un servidor web sabe nuestra IP. Eso también es un dato personal y no pasa nada.

    Como sino un proveedor de contenido premium sabe que música enviar al cliente cuando paga por SMS Preimum ? Pues comparando el número desde el que se recibió el SMS con el número que aparece en esas cabeceras. Esa cabecera la pone el operador, por lo que no es falsificable a nivel de cliente.

    Si es que ....

    • BocaDePez BocaDePez
      6

      Con la IP no te mandan SMS de pago ni emails de pago, jeje.…

      Con la IP no te mandan SMS de pago ni emails de pago, jeje.

      Sabiendo el número de móvil, la cosa puede costarte dinero, ya que si te mandan SMS Premium te cobran cada envío y es problemático dar de baja el servicio. Y no es ninguna posibilidad remota ya que hay gente que recibe esos SMS si haberse dado de alta en ningún sitio.

      Tal vez Orange cobre algo de comisín con esos servicios, por lo que le interesa que suceda.

      • BocaDePez BocaDePez
        6

        No te pueden mandar mensajes premium si no te has dado de…

        No te pueden mandar mensajes premium si no te has dado de alta previamente con un mensaje que ponga ALTA. Sino, menudo chollo. Mando mensajes premiun empezando por el 600 000 000 y terminando en el 699 999 999 y me forro.

        Claro que Orange cobra comisión, o te crees que vive del aire. Parte de lo que tu pagas por los premium se lo queda Orange, de hecho se queda la mayor parte. Orange y todos, claro.

        • BocaDePez BocaDePez
          6
          Eso lo hacen y cierran la empresa al segundo día y se sacan…

          Eso lo hacen y cierran la empresa al segundo día y se sacan unos cuartos. Para evitarlo lo único que se puede hacer es prohibir los SMS a números de tarificación adicional. Además te suscriben y te suelen cobrar entre 10 y 20 euros más en la factura al mes.

    • BocaDePez BocaDePez
      12

      Pues sí que pasa si tienen mi número por ahí. Estoy pendiente…

      Pues sí que pasa si tienen mi número por ahí. Estoy pendiente de confirmar si los problemas q estoy teniendo son por éste motivo. Desde hace un mes me llegan sms con pasajes de la biblia en inglés que me ponen de muy mala leche... y si es por culpa de Orange, me toca mucho la moral... porque no tiene solución. Esa gente ya tiene mi número pa mandarme nuevo y antiguo testamento hasta el fin de los días.

      Si es culpa de éste error, voy a hacer todo lo posible por joderles.

      • cualquiera puede enviar cualquier cosa a cualquier numero…

        cualquiera puede enviar cualquier cosa a cualquier numero porque la numeracion es publica

        es como si te llaman al telefonillo de casa o si te envian una carta al buzon

        lo mismo lo mismo

        otra cosa es que haya nuevas normativas sobre el spam buzoneo y cosas asi pero a ver si nos entra en la cabecita que para que alguien envien algo a un numero de telefono buzon de correo buzon fisico etc no tienen que saber quien es el propietario

      • BocaDePez BocaDePez
        6

        Estos mensajes les llega a los que son de Movistar, Vodafone…

        Estos mensajes les llega a los que son de Movistar, Vodafone y las OMV A TODOS

    • BocaDePez BocaDePez
      6

      todo lo que sea criticar contra Orange y venga y venga. Hace…

      todo lo que sea criticar contra Orange y venga y venga. Hace pocos dias con el artículo de la cobertura.

      Orange gana clientes mes tras mes y más que va a ganar con el iphone 4, como duele.

      • Es bueno que lo saquen porque así mejoran. Si no fuera por…

        Es bueno que lo saquen porque así mejoran. Si no fuera por esta gente los chicos malos hacían los que querían porque de la policía se ríen en su cara.

        Orange ahora lo arreglará porque sino mas de un cliente se irá o los denunciará por incumplir la LOPD. Puede parecer una chorrada pero a mucha gente le molesta que sus datos estén a disposición de cualquiera.

        • BocaDePez BocaDePez
          18
          Estoy contigo. No es lo mismo un numero de movil que la IP ,…

          Estoy contigo. No es lo mismo un numero de movil que la IP , por la IP no te llega spam y llamadas no deseadas.... Que corrijan y adelante. Llevo con orange mas de 8 años . Pero la cobertura es limitada y internet el mas caro.... Las tarifas de llamadas también son muy caras , como no se espabilen la gente se irá a MasMovil o PepePhone.

        • BocaDePez BocaDePez
          18
          A mi me molesta muchísimo por las consecuencias que…

          A mi me molesta muchísimo por las consecuencias que acarrea...un despiste y tienes spam de cualquier tipo.
          Yo soy de los que denuncia y si me entero de una cosa así ...para mí ya han terminado de por vida.

    • dependera de si la omv usa la infraestructura de acceos a…

      dependera de si la omv usa la infraestructura de acceos a datos de orange

      a carrefour la pasara seguro (si usa los apn problematicos) pero a simyo no creo que le pase

  • BocaDePez BocaDePez
    18

    He usado un comprobador de cabeceras desde mi nexus one y no…

    He usado un comprobador de cabeceras desde mi nexus one y no sale nada.

    Creo que esto debe afectar a la gente navegando con wap (APN 'orangeworld'), que pasa por un proxy, nada más. Los que usamos el APN 'internet' parece que no estamos afectados, es conexión directa a internet.

  • Le estais dando muchas vueltas pero quedaros con lo…

    Le estais dando muchas vueltas pero quedaros con lo importante:

    - Hace mas de un mes alguien se dio cuenta de este fallo y se lo notificó a Orange.

    - Se le ha dejado un mes de cortesía a Orange para que repare este problema antes de hacerlo publico.

    - Orange ha hecho caso omiso y hasta que no se ha hecho público no han tomado cartas en el asunto.

    - Una vez lo han arreglado han lanzado una columna de humo, haciendo enfasis en "el envío de datos de clientes se realiza de modo completamente seguro", cuando esto no viene al caso, ya que de lo que estamos hablando es de una cabecera que estaba cuando no debería estar. Esto da que pensar de que quien hizo el comunicado no sabe ni remotamente de que va el tema.

    En fin, si nos enteramos de esto.. ¿cuantos fallos de seguridad se le habrán notificado al dpto. de seguridad de Orange y han hecho caso omiso?

    ¿Que hubiera pasado si el tipo que descubrio este fallo, al ver que en orange no le hacian ni caso, en vez de hacerlo publico hubiera dedicido lucrarse con el?

    ¿Que pasa con security@orange.es? ¿Acaso está deslocalizado también su departamento de seguridad logica?

  • BocaDePez BocaDePez
    12

    Va listo el tal Xuf

    Yo nunca conseguí que Orange resolviera ninguno de los problemas que tenía en su web. El autor de este blog no creo que lo consiga, por muy grave que sean los hechos revelados. Es más, casi siempre la respuesta era "en este momento se están llevando a cabo mejoras en el servicio. Tiene que esperar". Cuando volvía a funcionar, yo no veía nada distinto, pero lo de las mejoras quedaba muy bien como excusa.

  • Acabo de comprobarlo en mi smarphone y es cierto el perfil…

    Acabo de comprobarlo en mi smarphone y es cierto el perfil WAP lo marca en rojo pero no encuentro mi numero por ningun sitio pero con el perfil internet ningun problema

  • BocaDePez BocaDePez
    12

    Pues es un putadón, con eso de que los "smartphones" de las…

    Pues es un putadón, con eso de que los "smartphones" de las noticias anteriores estan de moda para navegar.

    eso de pillar un movil por 4 duros de subasta y ponerse una tarifa de internet, no va tan conveniente... Al menos con las sangijuelas de Orange que además de chuparte la sangre van dando tus datos por ahí.

    No sé hasta que punto seria delito, ya que estan publicando tus datos personales.

  • BocaDePez BocaDePez
    0

    Algunos de aquí critican a cierta página supuestamente pagada…

    Algunos de aquí critican a cierta página supuestamente pagada por jazztel pero aquí ultimamente ni que os pagara vodafone o la misma movistar....Me gustaría saber que conocimientos del tema tiene el autor de esta noticia y si el mismo ha comprobado que así ocurre...

    • 18

      Si es a la que creo que te refieres el supuestamente se queda…

      Si es a la que creo que te refieres el supuestamente se queda un poco corto desde el momento en que tienen una tienda online que ha estado años vendiendo solo Jazztel (hace poco ha añadido Vodafone) y una tienda física que también vende solo Jazztel, la web está saturada de publicidad de sus tiendas y hacen continuamente unos publireportajes sobre ese operador en portada bastante descarados.

      La noticia no es propia del redactor, por eso cita su fuente (aquí se citan aunque parezca sorprendente) y es el autor del artículo original quien lo ha publicado bajo su nombre y quien lo ha comprobado, de la misma forma que si un periodista de cualquier diario cita datos de una investigación judicial no revisa si la han hecho bien o no ;)

  • BocaDePez BocaDePez
    12

    Yo nunca he visto el numero en las cabeceras HTTP en una…

    Yo nunca he visto el numero en las cabeceras HTTP en una conexion de orange, sera en conexion WAP

  • BocaDePez BocaDePez
    18

    Parece que el problema se conoce desde hace meses y como no…

    Parece que el problema se conoce desde hace meses y como no han hecho nada, ni parece que vayan a hacerlo, quizá algún cliente debería ponerlo en conocimiento de la Agencia de Protección de Datos y que los animen a solucionarlo con 60.000 leurazos.

    PD: En un comentario de la fuente de la noticia hay un enlace para comprobar si nuestro terminal tiene ese problema: www.mulliner.org/pc.cgi

1