2008-07-14

Smygtitt in i teledatalagringens Sverige

Det har väckt rabalder att en bugg hos Eniro har gjort det möjligt att kolla var olika mobiltelefoner och deras användare befinner sig.

Men det är ju i stort sett "bara" en lätt försmak av teledatalagringen – där staten kan kontrollera var vi och våra mobiltelefoner har befunnit oss det senaste året.

Om folk är upprörda över det ena borde de också vara det över det andra.

Länk»

4 kommentarer:

  1. Om Eniro kan fixa det så enkelt (att få positionsdata alltså) vad är då oddsen för att FRA lika enkelt kan det? Eller för den delen redan gör det om någon av deras "kunder" beställer det...

    SvaraRadera
  2. Den här kommentaren har tagits bort av skribenten.

    SvaraRadera
  3. Fast det här är väl egentligen inget nytt och vem som helst kan ju t.ex. gå in i http://www.smssubmit.se/en/hlr-lookup.html och kolla upp vilken mast din mobiltelefon just nu är kopplad mot, så den som vill stalka kan göra det redan idag. Uppgifterna lämnas som sagt ut till tredje part

    SvaraRadera
  4. Efter diverse telefonsamtal med inblandade:

    Telias chef för content hävdar att deras jurister tittat på avtal/lag och de anser detta ok. Telia skyller ifrån sig och hävdar på fullaste allvar att ansvaret ligger hos tredje part att inhämta godkännande.

    Enligt Visibilly AB (som förmedlar position mellan Telia och Eniro) anser operatörerna att det räcker med att kunden klickar på en positioneringslänk för att samtycke ska gälla (utan text som beskriver vad kunden egentligen samtycker till).

    Tekniskt fungerar det så att mobiltelefonen (normalt) ansluter genom operatörens proxy som lägger på en cookie med MSISDN (=telefonnummer). Eniro/Visibilly får denna cookie och kollar position genom XML-API för just det numret.

    "Buggen" hos Eniro var att användare av tjänsten kunde söka på valfritt nummer. Genom API:t kan man (fortfarande) söka på valfritt telefonnummer (som inte är hemligt). Alltså samtliga kunder som Eniro/Visibilly har avtal med. Personer på Eniro (och andra med access till API:t) kan därmed fortfarande söka på valfritt MSISDN - det var ju bara en bugg i programet eftersom det inte gjordes någon jämförelse mellan MSISDN kunden knapprade in och det som stod i cookien. Men teknisk kan Eniro söka på valfritt nummer - utan kundernas medgivande!

    Det finns två sätt att skydda sig:

    1. Surfa aldrig med default wap-profil från operatören. Redigera profilen och välj bort proxy, och kunder med mobilt bredband borde surfa genom t.ex. Relakks eller liknande tunnel.

    2. Anmäl ditt nummer som hemligt så kan (?) inte position lämnas ut i API.

    Förslag till Telia och operatörena:
    Lägg in spärr i era system att kunder måste ge tillstånd till att position lämnas ut.

    Om Polisen vill ha motsvarande uppgifter krävs ju domstolsbeslut så varför lämnar operatörer ut uppgifter lättvindigt till tredje part? Eller är det så att Polisen redan har id/password till API:t...

    Det borde finnas insyn i API:erna - t.ex. lagkrav på audit trail av API:erna, alltså "lag om trafikdatalagring av sökningar i trafikdata" :-) samt oberoende granskning av loggarna för att upptäcka missbruk.

    Förresten, cookies läggs på vid surf med mobil eller mobilt bredband mot diverse content providers. SvD, Expressen, Aftonbladet, DN, SVT har både IP#, MSISDN och kan kartlägga invidividers läsarvanor. Dessutom kan vissa även kolla i vilket nät kunden befinner sig i, och nu även positionering.

    SvaraRadera

Håll en hyfsad ton. Kommentarer bör vara intressanta, fyndiga eller på annat sätt tillföra något - för att slippa igenom nålsögat.