Il numero di un utente mobile è disponibile per un servizio web?

Dopo alcune settimane ho ricevuto una risposta da una query che ho inviato al mio gestore di telefonia mobile (EE). Questa è l'e-mail:

Good morning Mr Coles

Thank you for your email.

I hope that I am able to address and answer the question that you have raised.

If a customer chooses to access the internet via their mobile phone by using mobile data as opposed to using WIFI, then yes the websites that are visited can obtain the mobile number of the device they are using.

If you are unhappy with how the subscription has been set up with Bounce Mobile you can Phonepay Plus who regulate UK premium rate services. You can raise your concerns with them via their website - http://www.phonepayplus.org.uk/

I hope this helps.

Kind Regards

Beverley Challinor

Executive Office

Quindi, a quanto pare è liberamente disponibile per un sito web (almeno su EE nel Regno Unito). Non mi piace, ma è così.

UPDATE. Risposta da ICO

Alla fine ho ricevuto una risposta dall'ICO. Originariamente pensavo di aver ignorato le mie preoccupazioni su di me che non autorizzavo il pagamento a bounce.mobi, ma controllando la mia e-mail mi ha appena indirizzato la mia attenzione su EE che condivideva i miei dati mobili. Se devo seguirlo, dovrei scrivere una nuova lettera riguardante il problema con cui bounce.mobi ha caricato il mio cellulare senza nulla di più che apparentemente facendo clic su qualche parte del mio schermo (che non sono convinto al 100% che l'abbia fatto ), mentre mi aspetterei dall'inserimento di ulteriori dettagli almeno, cosa che so assolutamente che non ho fatto.

Ad ogni modo, ecco l'email:

5 April 2016

Case Reference Number RFA0619487

Dear Mr Coles

Thank you for your correspondence regarding your concerns about EE and Bounce.mobi. Please accept my apologies for the delay in responding to you. Our office is currently dealing with large volumes of work. This has meant we have been unable to deal with incoming correspondence as promptly as we would like.

The Information Commissioner’s Office

Under the Data Protection Act 1998 (the DPA), those who collect and use personal information have to follow rules of good practice (called the data protection principles). The DPA also gives rights to individuals whose information has been processed.?

When eligible concerns are brought to us we will make a decision, which is our view about whether the rules of good practice for handling information have been followed. We do this by saying whether we think compliance with the DPA is likely or unlikely.

The Information Commissioner’s Office is only able to investigate concerns where we have received specific documentary evidence of what has occurred. It is not the role of the Information Commissioner to seek evidence on behalf of individuals – as a regulator the Information Commissioner needs to be seen to be fair and impartial.

Your concern

You are concerned that EE is sharing your mobile phone data with web servers when you connect via their mobile data plan.

We note you have raised your concerns about Bounce.mobi with EE and they have confirmed the following:

"If a customer chooses to access the internet via their mobile phone by using mobile data as opposed to using WIFI, then yes the websites that are visited can obtain the mobile number of the device they are using."

Please note that websites can only obtain your mobile number when you give them your consent to do so.

In this case Bounce.mobi has confirmed that "we only offer a service that subscribers choose to join themselves. You were subscribed to the Bounce.mobi Gaming Portal at a cost of £1.50 per week. Our records show that you interacted with one of our advertisements. This took you to our subscription page where you then confirmed your subscription on Saturday 2nd of January 2016 at 09:52:39 PM whilst browsing on your phone using a data connection. I have attached a picture of the type of subscription page which you interacted with in order to subscribe to this service. You will notice that the subscription page clearly shows all details of the service."

Case conclusion

In this case we have no evidence that either EE or Bounce.mobi have not complied with the DPA. This is because Bounce.mobi has confirmed that you gave your consent to subscribe to their services and we have received no evidence to the contrary. In addition we have no evidence that EE has shared you mobile phone data inappropriately or without your consent.

We are sorry we are unable to assist you further; however we hope this information is useful to you.

Yours sincerely,

Carolan Hunter Case Officer Information Commissioner’s Office Direct

Non hai specificato se il tuo telefono è Android, iOS o altro. In ogni caso, il modello di sicurezza mobile impedisce ai siti Web di recuperare il numero di telefono di un dispositivo. Potrebbe essere possibile farlo se esiste una vulnerabilità sul browser / telefono che ha permesso questo (per esempio di simile a vedere link ).

L'altro modo per recuperare il numero di telefono è attraverso un'app installata sul telefono. In Android, tale app dovrebbe avere determinate autorizzazioni abilitate; in questo caso sarebbe:

<uses-permission android:name="android.permission.READ_PHONE_STATE"/>

È anche possibile che tu abbia fornito alcune informazioni a questo fornitore di giochi che a loro volta usano per identificarti contro il tuo gestore di telefonia mobile per abilitare tali addebiti. Tuttavia, non so quale parte di informazione che usano o quale sia il processo aziendale che sta dietro.

Una nota finale, l'atto di utilizzare il cellulare o la linea di terra come una "carta di credito" di tipo è chiamato cramming. Puoi vedere ulteriori informazioni a riguardo qui: link

Tecnicamente possibile? Sì, legalmente possibile, no.

Quando si utilizza una connessione dati tramite uno qualsiasi dei vettori del Regno Unito, non è possibile determinare il numero dell'abbonato dai dati disponibili al server. Devono aver avuto il numero del tuo abbonato per poter riscuotere addebiti sul tuo account telefonico.

È teoricamente possibile che nel telefono sia presente malware che espone il tuo numero di telefono ad alcuni (o tutti?) siti.

È anche possibile che forniscano un input di testo sul loro sito per inserire un numero di cellulare e quindi inviare addebiti a quel numero - questo rompe le regole di OFFCOM.

Inoltre, quando sei iscritto a un servizio di fatturazione come questo, l'organizzazione che fornisce il servizio è tenuto a inviarti notifiche all'inizio e intervalli regolari durante l'abbonamento.

Ho lavorato per una società simile un certo numero di anni fa - e mi fiderei di un coccodrillo rabbioso più di chiunque sia coinvolto in micropagamenti di telefonia mobile. Purtroppo la mia esperienza è stata che la funzione principale di OFFCOM era quella di fungere da firewall per proteggere tali persone da clienti arrabbiati.

Secondo la legge, hai diritto non solo al rimborso, ma a tutte le spese (incluso il tempo) sostenute per risolvere il problema. Ma buona fortuna!

Aggiorna

Le mie informazioni non erano aggiornate.

Sono alquanto allarmato nello scoprire che persino Offcom non stava riuscendo a minare adeguatamente i diritti dei consumatori e ora ha delegato tale responsabilità a Phonepayplus, aggiungendo ulteriore complicazione alla risoluzione di pratiche inappropriate o illegali da parte dei fornitori di PRS.

Potrebbe peggiorare?

Sì, PhonePayPlus ha rimosso il requisito ( consulta la sezione 2 ) per gli operatori PRS per informarti che sei iscritto a un servizio SMS con tariffa premium.

Ho anche sbagliato riguardo allo stato attuale delle cose riguardo alla divinazione del proprio numero di cellulare dall'indirizzo IP. E la definizione di PhonePayPlus di " Una robusta verifica "del consenso per l'addebito (vedi sezione 2.14) afferma che il recupero di una pagina dal sito web contenente i termini è adeguato.

Quindi è del tutto legale se un provider crea dati o ha bug nel loro software. Dopo tutto, chi potrebbe probabilmente simulare uno screenshot ( 2.14b )?

Vado a scrivere un sito di clickjacking.

Normalmente no. O2 ha aggiunto i numeri degli abbonati alle richieste in uscita qualche anno fa (apparentemente per caso): link ma questo ovviamente non dovrebbe accadere senza il consenso dell'utente.