İngiltere’de O2 adlı mobil operatörün 3G networkündeki mobil numaraları, kullanıcıların ziyaret ettiği tüm web siteleriyle paylaştığı ortaya çıktı. Söz konusu hatanın proxy sunucu ayarları nedeniyle yaşandığı ve HTTP başlık bilgisinde yeterli güvenlik önleminin sağlanmadığı söyleniyor. O2’nin faaliyet gösterdiği Almanya gibi pek çok ülkede ise proxy sunucuları farklı olduğu için bir sıkıntı yaşanmamış.
İngiltere’de Lewis Peckover adlı bir O2 kullanıcısı, herhangi bir cihazın mobil mi yoksa sabit networkler üzerinden mi internete bağlandığını saptamaya yarayan bir web aracı üzerinde çalışma yürütürken tesadüfen bir güvenlik açığı saptamış. Bu açık, O2 networkünün 3G kullanıcılarına her internete girişlerinde bir HTTP başlığı (header) ataması nedeniyle yaşanmakta. Normalde HTTP başlıklarında; talep edilen sayfanın URL’si, web tarayıcısının versiyonu ve işletim sistemi gibi bilgilere ait satırlar yer alır. Ancak O2’nin atadığı HTTP başlığı sayesinde, kullanıcıların cep telefonu numaraları da görüntüleniyor.
Peckover, söz konusu açığı dün fark etmiş. O2’ye ait 3G şebekesinden internete bağlandığında HTTP başlıklarında x-up-calling-line-id line adlı bir satır ile karşılaşan Peckover, konuyu Twitter’da paylaşarak neler olup bittiğini anlamaya çalışmış. Söz konusu güvenlik açığı, bu bilginin yani cep telefonu numarasının, kullanıcı tarafından ziyaret edilen tüm web siteleri ile paylaşıldığı anlamına geliyor. O2 yetkilileri, söz konusu problemi bugün gidermekle birlikte kamuoyuna yönelik herhangi bir açıklama yayınlamadılar.
Peckover’ın Twitter’da yazdıklarına ve kendisine verilen cevaplara bakılırsa, söz konusu yöntem BlackBerry cihazlarda işe yaramıyor zira bu firmanın kendi proxy sunucuları mevcut ve internet trafiği bu sunuculardan geçmekte. Aynı şekilde, O2’nin diğer ülkelerdeki kullanıcıları da aynı sorunla karşılaşmadıklarını raporlamışlar. Dolayısıyla bu hata, sadece İngiltere’deki O2 3G şebekesini etkilemiş gibi gözüküyor.
[1]-O2 send your phone number to every site you visit using their mobile data network?