Норвежский провайдер выдавал в браузере номер телефона клиента по IP

    В Норвегии на днях была обнаружена проблема на стороне провайдера NextGenTel, которая делала вполне реальной угрозу «я найду тебя по ip». На роутерах компании было установлено ПО, выдающее номер телефона конкретного пользователя, по его ip.

    При этом никаких особых инструментов использовать не нужно. Обычный браузер, вбиваем в адресную строку ip, получаем страничку с информацией о работе роутера. На этой же страничке указывался телефонный номер клиента.

    Само собой, используя сайт-справочник типа 1881.no, по номеру телефона можно было без проблем получить имя человека и его адрес.

    Проблема была обнаружена местным сайтом Dinside, представители которого сообщили провайдеру о найденной уязвимости. Технический персонал провайдера быстро исправил проблему, однако этот случай показывает, настолько может быть глупым простым способ, при котором частная информация клиента/пользователя может быть получена сторонним лицом.

    Все технические инструменты, предназначенные для защиты данных клиентов/пользователей, могут быть бесполезны, в случае возникновения вот таких вот ошибок, о которых никто и не подозревает.

    Кстати, не так и давно в той же Норвегии произошел случай, показывающий, насколько обычно местные провайдеры трепетно относятся к защите частной информации своих клиентов. Дело в том, что норвежская «антипиратская» организация получила ip пользователя, выложившего какой-то фильм на The Pirate Bay. Провайдер отказался предоставлять данные клиента, и дело пошло в Верховный суд.

    Это вам не досудебное предоставление всех возможных данных клиента по первому телефонному звонку…

    Via torrentfreak
    Support the author
    Share post

    Comments 40

    • UFO just landed and posted this here
        +2
        Удивительно, что то, что в одних случаях, называется «функционал», (который требует составления т.з., планирования, разработки, тестирования, внедрения, в общем вполне конкретных и зачастую немалых трудо- и временных затрат); в других случаях, то же самое называется «багом», который появляется как будто бы сам собой.
          +4
          Разница между падением и полетом — порой лишь точка зрения :)
          +7
          image
        • UFO just landed and posted this here
            +1
            Отказаться от роутера или отложить его в коробку и поставить свой можно? Или тоже обидятся?
            0
            У меня этот провайдер, вроде уже пофиксили эту проблему. По айпишнику говорит что нет доступа
              +1
              Когда-то, давным-давно, ещё в эпоху WAP, пользователи Билайна имели возможность получить в WAP-чатах привилегию — бан по номеру телефона. Пчелайн отдавал номер их мобилы в POST-запросе, в хедере X-NOKIA-MSIISDN
                0
                Хм, интересно, а сейчас такое не практикуется? Кому-то, у кого есть сайт со значительной долей мобильных юзеров, стоило бы парсить и логировать странности в заголовках HTTP =)
                  0
                  Если что-то и практикуется, то, как и в те годы, передаётся из уст в уста среди «илиты» :)
                  Это ж цельный клад! :)
                    0
                    Так-то так, но, думаю, всегда найдётся кто-нибудь не из «илиты», но с желанием запостить breaking news на хабре и получить кучу плюсиков за возможность вычислить кого-то по IP =)
                      +3
                      Заметьте, Вы только сейчас узнали о хедере, кторый перестал быть актуальным почти 10 лет назад :)
                        +2
                        Ну мне 18 лет, если что ;-)
                          0
                          Это не оправдание :)
                          Мне, 23-летнему «дядьке», этот секрет сообщали 16-18-летние владельцы партнёрских сайтов :)
                            0
                            Ну так не 8-10-летние же :) (18- ~10..)
                              0
                              Ну так мне и не 23 сейчас :)
                              0
                              Ну так это когда ещё было =)
                  0
                  Вообще, в Норвегии Большой Брат конкретно за всем следит. Из своего личного опыта могу сказать, что персональные данные там собираются везде где можно.
                    +2
                    В гостиницах, тем не менее, паспорт не спрашивают :)
                      0
                      Из десятка стран, где я имел останавливаться в гостиницах, паспорт спрашивали только угадайте в какой. А, и ещё на Украине.
                        0
                        В Китае спрашивают (обычно)
                    • UFO just landed and posted this here
                        0
                        Наверно он имеет ввиду datalagringsdirektivet (хотя она еще не в силе), а не skattelister.
                          0
                          Ну не знаю. Публичная информация о компаниях в РФ уже сейчас используется для нужд имперсонации мошенниками (прошлое место работы очень погорело от таких умельцев). Если бы в РФ была публичной информация о налогообложении граждан, было бы еще хуже. Лично по мне, подобные фокусы хороши только если нет «криминальной культуры населения».
                            0
                            Именно поэтому в Норвегии теперь нужно подтверждать свою личность, для того чтобы глянуть кто сколько заработал.
                              0
                              По моему опыту большинство способов подтверждения личности довольно хрупкие. То есть, конечно, "за ради лулзов" в Норвегии может быть никто и не полезет, но мало-мальски солидная «стая товарищей» мотивированная деньгами сможет найти «пачпорт» (и даже «зиц председателя Фунца»)
                                0
                                Не совсем согласен. Чтобы подтвердить свою личность электронно вам нужен, например, украденный у кого-то токен для банковской аутентификации с ключем к нему + номер социального страхования + собственно пароль для входа. Если у вас все это есть на руках, то подсмотреть чьи-то налоги, это наименьшее из зол, котороые вы способны устроить.
                                  0
                                  стоп-стоп, мне это нужно чтобы просмотреть свои налоги или налоги любого Норвежца?

                                  Потому что если второе, то в принципе все эти credentials на одного гражданина можно получить без кражи, путем нахождения т.н. «лоха» и навешивания ему на уши лапши (я кончено понимаю, что жестко антисоциальных граждан, сдающих «паспорт в аренду», в Норвегии, вероятно, и вовсе нет, но граждане наивные и легко вовлекаемые в черт-знает-что методами социальной инженерии вероятно есть).

                                  Опять же, если Гражданин Норвегии Х сделает >100500 запросов о «чужих налогах», ему за это что-то будет? Его хотя бы вызовут в полицию давать объяснения про то, нафига он занимается харвестом чужих налоговых данных?
                                    0
                                    Это нужно чтобы посмотреть хоть свои, хоть чужие, вообщем чтобы залогиниться на сайте налоговой. Если вы в состоянии найти лоха, который даст вам свой BankID то вам проще обчистить его банковский счет, чем смотреть чьи-то налоги.

                                    Насчет последнего не знаю, есть ли какая-то «граница просмотров» или нет, но я думаю что если обчистят кого-то, чей доход вы смотрели, то тогда местная полити вами точно заинтересуется.
                                      0
                                      Если вы в состоянии найти лоха, который даст вам свой BankID то вам проще обчистить его банковский счет, чем смотреть чьи-то налоги.


                                      Внутренний голос подсказывает, что на банковском счету такого персонажа «ништяков» будет немного (хотя вопрос о сравнительной криминальной ценности собранных с его помощью данных — сам по себе очень интересен)

                                      Насчет последнего не знаю, есть ли какая-то «граница просмотров» или нет, но я думаю что если обчистят кого-то, чей доход вы смотрели, то тогда местная полити вами точно заинтересуется.


                                      Тут ведь вопрос не только в «обчистят» — задача может лишь косвенным образом затрагивать того человека, чьи данные захарвестили (лично я, конечно, не могу с уверенностью сказать, как именно можно эти данные использовать «во зло», но ведь это говорит лишь о моем добронравии, а никак не об объективном отсутствии возможности такого применения)
                                        0
                                        Внутренний голос подсказывает, что на банковском счету такого персонажа «ништяков» будет немного (хотя вопрос о сравнительной криминальной ценности собранных с его помощью данных — сам по себе очень интересен)


                                        Тем не менее, вы получаете доступ ко всем деньгам субъекта. А Норвегия страна вообще такая, где наличкой мало что оплачивается, все карточкой либо через интернет-банк.
                                          0
                                          Дык это бесспорно (кстати примеры получения доступа к счетам граждан и даже организаций «за счет социальной инженерии» известны), просто хищение небольшой суммы со счета одного отдельного «лоха» (которые еще и «оприходовать» по-быстрому надо будет) не видится мне такой уж значимой криминальной задачей.

                                          А вот ситуации, когда публичные данные становились основой для дальнейшей криминальной схемы, мне известны «на почти своей шкуре». Так что я пожалуй не поеду в Норвегию, слишком уж у вас там много прозрачности и заботы о гражданах ;-)
                                            0
                                            Все так, но верно и другое — непрозрачные системы создают порядочно условий для различных злоупотреблений и создания таких же криминальных схем. Так что куда ни кинь — всюду клин.
                                              0
                                              Необходим некоторый баланс, ИМХО.
                        +1
                        Ага, если платишь за бухло карточкой, то тебя сразу на учет ставят, как потенциального алкоголика.
                        +1
                        В Германии провайдер QSC каждому клиенту выделял статический айпишник и регшистрировал его в RIPE на клиента. J,sxysq whois на айпишку тут же выдавал имя фамилию клиента. И ничего так, никто не называлш это дыркой ))))
                          +1
                          В Германии еще есть берлин-телеком со своими прибабахами, а кроме него 1und1.de со своими «готовыми коробками» — роутерами на стероидах. По большинству земель траффик ой как мониторится. Когда-то писал на хабре по этой теме пару больших развернутых комментов.

                          Так что в Германии тоже надо быть поаккуратнее в отношении интернета.
                          +1
                          Должно быть, эта история войдёт во новую редакцию известной книжки:

                          Only users with full accounts can post comments. Log in, please.