Britischer Netzbetreiber gab Rufnummern preis

Der britische Mobilfunkanbieter O2 hat die Rufnummern seiner Kunden beim Aufruf von Webseiten über das Mobilfunknetz mitgesendet, wie unsere Schwesterpublikation The H berichtet. Der transparente Proxy des Unternehmens, der etwa die Qualität übertragener Bilder zugunsten der Übertragungsgeschwindigkeit reduziert, hat ein Feld mit dem Namen x-up-calling-line-id in den Header der HTTP-Anfrage eingefügt, das die Telefonnummer des Kunden enthielt.

HTTP-Header können von Webseitenbetreibern mit minimalem Aufwand aufgelesen werden. Auch der Mobilfunkprovider Tesco war betroffen, der das Netz von O2 nutzt. Entdeckt hat das Problem der O2-Kunde Lewis Peckover, der daraufhin eine Testseite eingerichtet hat, die die übertragenen Header-Informationen anzeigt. Der Netzbetreiber hat schnell reagiert und das Datenschutzproblem am frühen Nachmittag beseitigt.

Laut O2 wurden die Rufnummern allerdings erst seit dem 10. Januar dieses Jahres mitgesendet. Schuld seien technische Änderungen, die während routinemäßiger Wartungsarbeiten durchgeführt wurden. Normalerweise werde die Rufnummern lediglich an ausgewählte Partner übertragen, etwa zur Altersverifikation oder zu Abrechnungszwecken. Es habe jedoch für unautorisierte Parteien zu keinem Zeitpunkt die Möglichkeit bestanden, die Rufnummern mit persönlichen Daten zu verknüpfen oder Abbuchungen durchzuführen.

O2 hat das Problem der britischen Regulierungsbehörde für Telekommunikation gemeldet und die Datenschutzbehörde ICO kontaktiert. Vergleichbare Fälle bei anderen Mobilfunkanbietern hat der Sicherheitsexperte Collin Mulliner bereits im Jahr 2010 dokumentiert (PDF-Datei). Das Header-Feld wird unter anderem im Blog eines Mobilfunkspezialisten erklärt. (rei)