ลูกค้าของเครือข่าย O2 ในสหราชอาณาจักรได้รายงานว่าเครือข่าย O2 ได้ส่งฟิลด์พิเศษใน HTTP header เมื่อลูกค้าใช้เว็บผ่านโทรศัพท์มือถือบนเครือข่ายของ O2 โดยเพิ่มฟิลด์ x-up-calling-line-id
ที่เป็นข้อมูลหมายเลขเครือข่าย O2 ของโทรศัพท์มือถือที่เชื่อมต่ออินเทอร์เน็ต ตั้งแต่วันที่ 10 มกราคมที่ผ่านมา
เหตุการณ์นี้ทำให้ลูกค้าจำนวนมากไม่พอใจเพราะเป็นการเปิดเผยข้อมูลส่วนตัวของลูกค้าให้กับเว็บต่างๆ โดยไม่ได้รับอนุญาต ทางเว็บไซต์ Which Conversation ได้ติดต่อไปยัง Information Commissioner’s Office (ICO) หรือคณะกรรมการข้อมูลข่าวสารที่เป็นผู้ดูแลความเป็นส่วนตัวของข้อมูลส่วนบุคคล ทาง ICO ได้ตอบรับว่าติดต่อไปยัง O2 เพื่อเตือนถึงการกระทำนี้แล้ว และทางคณะกรรมการกำลังทำความเข้าใจว่าเกิดปัญหาอะไรขึ้นก่อนจะดำเนินการต่อไป
สิ่งที่ทาง O2 ทำคือการใช้ transparent proxy เพื่อดักข้อมูลก่อนจะส่งถึงเว็บเซิร์ฟเวอร์ แล้วเพิ่มข้อมูลหมายเลขโทรศัพท์ลงไป ในตอนนี้ทาง O2 ได้ออกมาชี้แจงว่าส่งข้อมูลนี้อย่างจงใจ โดยส่งให้กับเฉพาะเว็บที่เป็นคู่ค้าของทาง O2 เท่านั้น เพื่อเหตุผลสามประการคือ 1. ยืนยันอายุของผู้ใช้บริการกรณีต้องการเข้าถึงข้อมูลสำหรับผู้ใหญ่ 2. เปิดให้ผู้ให้บริการข้อมูลส่งข้อมูลเก็บเงินกลับมายัง O2 ได้ 3. ตรวจสอบผู้ใช้ในเว็บของ O2 เอง
อย่างไรก็ดี Lewis Peckover ลูกค้าของ O2 ผู้รายงานปัญหานี้พบว่าเว็บของเขาเองก็สามารถดูหมายเลขของลูกค้า O2 ได้เช่นกัน แสดงว่าทาง O2 ไม่ได้จำกัดการส่งต่อหมยาเลขให้กับคู่ค้าเท่านั้นทาง O2 ชี้แจงว่าเป็นความผิดพลาดของระบบ และได้แก้ไขแล้ว และยังยืนยันกว่าการส่งต่อข้อมูลเช่นนี้เป็นแนวทางมาตรฐาน
ก่อนหน้านี้ในประเทศไทยเคยมีรายงานถึงการเข้า Twitter แล้วพบว่ากลายเป็นหน้าของผู้ใช้คนอื่นๆ ก็เป็นปัญหาในรูปแบบเดียวกันคือ transparent proxy ของผู้ให้บริการมีปัญหาและไปแก้ไขค่าใน header จนผิด ส่งผลให้ค่า session id กลายเป็นของผู้ใช้คนอื่น
ที่มา - O2, Which Conversation, Lewis Peckover
Comments
ในไทยก็มีนะครับ สมัยก่อนก็เคยเห็นอยู่บ้าง แต่ช่วงหลังๆ น่าจะจำกัดเว็บไซต์ที่ได้รับข้อมูลพวกนี้ไปแล้ว
ของผมเคยเป็น Facebook ที่เล่นๆอยู่ดีๆ กลายเป็นเล่น Login ของคนอื่น เล่นจาก True ADSL
เคยเจอกับหน้าต่างแบบสอบถามของ eService AIS หลังจาก กด Logout ส่งเบอร์โทรกับชื่อและอีเมลของเราไปใน Query String เลยครับ
หมายเลข
Jusci - Google Plus - Twitter