Mobiltelefongesellschaften scheinen Ihre Nummer und Ihren Standort jedem zur Verfügung zu stellen, der zahlt



Sie erinnern sich vielleicht daran, dass Verizon (der Eigentümer von Oath, der TechCrunch besitzt) von der FCC dafür bestraft wurde, Informationen in den Verkehr ihrer Abonnenten einzuspeisen, die ihnen erlaubten, ohne ihre Zustimmung verfolgt zu werden. Diese Praxis scheint im vergangenen März in Kraft getreten zu sein, obwohl sie in einem Urteil nicht anerkannt wurde: Unternehmen können Ihre Nummer, Ihren Standort und andere Details von Ihrem Mobilfunkanbieter recht einfach anfordern.

Die Möglichkeit wurde von Philip Neustrom, Mitbegründer von Shotwell Labs, entdeckt, der es Anfang der Woche in einem Blogpost dokumentiert hat. Er hat ein Paar Websites gefunden, die, wenn sie von einer mobilen Datenverbindung aus besucht werden, in kürzester Zeit mit zahlreichen Details berichten: Vollständiger Name, Postleitzahl, aktueller Standort (wie aus Mobilfunkdaten abgeleitet) und mehr. (Andere fanden dasselbe mit leicht unterschiedlichen Ergebnissen je nach Träger, aber die Demo-Seiten wurden abgebaut, bevor ich sie selbst ausprobieren konnte.)

Es scheint dem Header von Unique zu entsprechen, der von Verizon verwendet wird. Die UIDH wurde an HTTP-Anfragen von Verizon-Kunden angehängt, so dass Websites, die sie besucht haben, ihren Standort, Abrechnungsdaten usw. sehen können (falls sie Verizon natürlich für das Privileg bezahlt haben). Die Praxis, die seit mehr als einem Jahrzehnt von Trägern gemeinsam genutzt wird, wurde in den letzten Jahren hervorgehoben und schließlich verlangte die FCC, dass Verizon (und andere mobile Anbieter) vor der Implementierung eine positive Zustimmung erhalten musste.

Das soll nicht heißen, dass das Ganze ein gewaltiger Betrug ist: Diese Daten könnten zum Beispiel für einen Administrator von Nutzen sein, der sicher sein will, dass das Telefon eines Angestellten tatsächlich am Standort ist, zeigen. Warum sollten Sie sich mit einem textbasierten Einmalpasswort beschäftigen, wenn ein Dienst Sie durch Abfragen Ihres Mobilfunkanbieters verifizieren kann? Es ist zumindest eine angemessene Möglichkeit.

Und genau das nutzen Unternehmen wie Payfone und Danal dafür; Darüber hinaus würden Nutzer ihrer Dienste per Definition in diese Art von Tracking einbezogen, so dass es kein Problem gibt.

Ich habe Payfone CEO Rodger Desai um eine kleine Erklärung gebeten. Er schrieb in einer Email zurück:

Es gibt einen sehr strengen Rahmen der Sicherheit und des Datenschutzes. Das Hauptproblem besteht darin, dass Betrüger bei allen legitimen mobilen Umstellungsereignissen einsteigen … Wenn Sie zum Beispiel heute eine mobile Banking-App herunterladen, ist die Bank nicht sicher, ob Sie auf Ihrem neuen Telefon oder jemandem wie Sie sind – nur der Betrüger braucht dein Bank-Passwort. PC-Techniken wie Zertifikate und Gerätedruck funktionieren nicht gut – da es ein neues Telefon ist.

Doch wie Neustrom herausfand, scheinen Mobilfunkanbieter nicht sehr bemüht zu sein, diese Zustimmung zu bestätigen. Beide Seiten bieten Demos ihrer Funktionalität, pinging mobile Provider für Daten und präsentieren sie Ihnen.

Natürlich, wenn Sie möchten, dass die Demo funktioniert, entscheiden Sie sich auch für das Tracking. Aber wo ist der Text oder die E-Mail des Mobilfunkanbieters, der Sie zur Bestätigung auffordert? Es scheint, dass diese Art von Anfrage auf viele Arten betrügerisch gemacht werden könnte, da die Anbieter sie nicht auf irgendeine Weise verifizieren, außer einigen programmatischen (übereinstimmenden IPs usw.).

Ohne strenge Zustimmungsstandards können mobile Unternehmen die Daten wahllos genauso verkaufen, wie sie waren, bevor die Interessengruppen sie dafür antraten. Für den Moment scheint es keinen offiziellen Weg zu geben, aber es scheint auch keine klare und gegenwärtige Gefahr zu geben, wie zum Beispiel ein offensichtlicher Betrüger oder Großhändler, der diese Technik benutzt.

Ich habe T-Mobile, AT & T und Verizon gefragt, ob sie an dieser Art von Programm teilnehmen und jedem Teilnehmer, der zahlt, Abonnenteninformationen zur Verfügung stellen und diese wiederum an andere weitergeben können. Ich habe auch die FCC gefragt, ob diese Praxis sie betrifft. Ich werde diesen Beitrag aktualisieren, wenn ich zurück höre.

Ausgewähltes Bild: Zap Art / Getty Images