Система глубокого анализа трафика настроена так, что добавляет служебные HTTP-заголовки при выполнении HTTP-запроса на сайты (хосты) из списка, определяемого оператором. В заголовках может содержаться внутренний IP-адрес абонента, номер телефона (MSISDN), IMEI и IMSI-идентификаторы, идентификатор базовой станции (вышки), к которой подключен абонент (ECI/TAC).
Нам потребуется установить на сервер в интернете простой HTTP-сервер, который будет принимать запрос, показывать его на экране, и отправлять HTTP-ответ. Что-то вроде этого:
#!/usr/bin/env python3
import socketserver
class MyTCPHandler(socketserver.BaseRequestHandler):
def handle(self):
while True:
r = self.request.recv(8192)
if b"rnrn" in r or b"nn" in r:
break
if not r:
return
print("-----rn" + r.decode() + "-----")
self.request.sendall(b"HTTP/1.1 200 OKrnContent-Length: 2rnrn")
self.request.sendall(b"OK")
return
if __name__ == "__main__":
HOST, PORT = "0.0.0.0", 80
socketserver.ForkingTCPServer.allow_reuse_address = True
server = socketserver.ForkingTCPServer((HOST, PORT), MyTCPHandler)
server.allow_reuse_address = True
server.serve_forever()
Отправим HTTP-запрос, используя SIM-карту Мегафон:
$ curl myserver.com
OK
На сервер пришло:
GET / HTTP/1.1
Host: myserver.com
User-Agent: curl/7.51.0
Accept: */*
Ничего необычного. Изменим заголовок Host на какой-нибудь внутренний домен оператора, например, на основной сайт megafon.ru:
$ curl myserver.com -H "Host: megafon.ru"
На сервере:
GET / HTTP/1.1
Host: megafon.ru
User-Agent: curl/7.51.0
Accept: */*
X-Real-IP: 100.114.20.123
X-NOKIA-MSISDN: 79319350195
На сервер пришли не только HTTP-заголовки, отправленные curl, но и дополнительные заголовки X-Real-IP и X-NOKIA-MSISDN, содержащие внутренний IP-адрес (за Carrier-grade NAT) и номер телефона!
Почему так получилось? По всей видимости, при составлении списка забыли привязать конкретные домены к конкретным IP-адресам или диапазонам, и проверка открытия сайта из листа выполняется только сравнением HTTP-заголовка Host.
Источник(там намного больше тонкостей, например, перечень внутренних доменов): https://habrahabr.ru/post/345852/
P.S.: не стоит забывать, что это именно уязвимость, то есть это ошибка в системах мобильных операторов, вполне возможно, что скоро эту дырку закроют.
P.S.P.S.: мтс данную уязвимость исправил.
Сталкивались ли Вы с таким, что в поисках чего-либо в интернете Вам вдруг неожиданно звонит менеджер одного из сайтов и озвучивает выгодное предложение? Вау! а как они узнали мой телефон?! Я не оставлял заявку. Интернет уже давно не анонимен. До этого момента такие функции были доступны, пожалуй, только интернет провайдерам, крупному бизнесу, банкам, социальным сетям и силовым структурам. Но теперь даже самый обычный человек может связаться с Вами в любое время суток. Все что необходимо для этого – номер телефона, который, к тому же, можно указать в своем профиле на каком-нибудь сайте. Это не новость, это реальность. Теперь, чтобы связаться с человеком, достаточно просто знать его телефон. И не важно, где он сейчас находится. Человек может быть за тысячи километров от Вас. А Вы можете быть на другом конце планеты. Но, как говорится, «звоночек» не заставит себя долго ждать. Идентификация посетителя сайта по его номеру. Какие сервисы собирают информацию о пользователях. Как отслеживать посетителей сайта по номеру телефона. Получение информации о клиентах сайта. Какой сервис позволяет отследить посетителя пришедшего на сайт по номеру мобильного телефона. Программный комплекс для определения посетителя сайта. Просмотр посетителей сайта и их номеров телефонов. Кто посещал сайт из посетителей. Как посмотреть кто был на сайте до тебя. Как найти человека по номеру его телефона. Что такое идентификаторы посетителей сайтов и как их можно отследить. Как отслеживать клиентов по номеру мобильного телефона. Определение клиентов сайта по их номеру. Как собирать информацию о посетителях сайтов. Как определить посетителя по номеру и получить его данные. Как узнать, что посетитель зашел на сайт через сервис «Яндекс.Метрика». Как отследить посетителей по телефону. Определение номеров, с которых заходили на сайт. Как найти номер телефона по IP-адресу.
Как отслеживать посетителей сайта по номеру телефона. Получение информации о клиентах сайта. Определение номера телефона, с которого был совершен звонок. Существует множество сервисов с помощью которых можно отследить посетителей сайта или определить номер телефона, который был использован для входа на сайт. Давайте рассмотрим несколько наиболее популярных и эффективных из них:
И вот тут-то, если вы не будете знать, кто эти люди, то вы можете упустить из виду очень важный момент. Ведь они могут быть потенциальными клиентами.
В современном мире, когда все больше и больше людей становятся зависимыми от интернета, сложно представить себе человека, который не пользуется сетью. На сегодняшний день, практически каждый имеет свой собственный аккаунт в социальных сетях, для того чтобы общаться с друзьями, узнавать полезную информацию, делиться фотографиями и многое другое.
В настоящее время существует множество сервисов для сбора информации о посетителях сайта. Некоторые из них, например, Яндекс Метрика, позволяют отслеживать посетителей, узнавать их ID, а также получать информацию об их действиях на сайте. Определение контактов посетителей сайта. Узнать номер телефона посетителя сайта. Захват пользователей на сайте. Узнать номер телефона кто заходил на сайт. Идентификация посетителей сайтов сервисы. Но, как правило, данные, которые можно получить таким образом, носят достаточно общий характер и не дают возможности идентифицировать посетителя сайта и по возможности узнать его телефон и другие данные.
Но это не значит что на этих сайтах можно узнать номер мобильного телефона пользователя. Дело в том, что эти сервисы работают только с доменами, а не с IP адресами. Но узнать телефонный номер с которого звонят или с которого отправляют смс, можно. Узнать номера телефонов посетителей вашего сайта, которые заходили к вам на сайт (в том числе и тех, кто был зарегистрирован на этом сайте) можно с помощью сервиса.
Не очень законный способ собирать персональные данные, тем не менее, сложно наказать – не каждый сможет записать разговор и подать жалобу в ФАС.
В сети рассказывают о новом способе привлечения клиентов – отслеживание номеров телефонов посетителей сайтов, которые заходят на них со смартфонов. Этим, в частности, злоупотребляют компании-застройщики, которые к тому же могут отследить, из какого города заходил абонент.
Абоненты жалуются в сети – они не оставляли никаких контактных данных и не давали согласия на звонок, тем не менее, получают массовые звонки с рекламными предложениями. Эксперимент повторили журналисты «Известий», которые получили десятки звонков, лишь просмотрев несколько сайтов из рекламы в сети Facebook.
Конечно, сами компании-рекламодатели технически не имеют возможностей отслеживать номера телефонов – но вообще такие технологии существуют, и их продают соответствующие компании. Выглядит это как вставка определенного элемента в исходный код страницы.
Использование соцсетей еще сильнее упрощает задачу: рекламодатели могут гибко настроить таргетированную рекламу, и при звонке уже знать основные данные о человеке и его интересы.
Услуги по «фиксации номера посетителей» предлагают десятки сервисов в сети. За каждый номер они просят 33 рубля, первые 10 номеров обычно идут бесплатно. По информации на сайтах таких сервисов, отследить удается номера до 80% посетителей сайтов.
Что интересно, после посещения сайта такого сервиса можно получить звонок уже от него – буквально через несколько минут (что служит подтверждением эффективности предложения). Представители сервисов уверяют, что имеют даже лицензии от Роскомнадзора, чем в ведомстве были весьма удивлены. Но пообщаться с ними еще не получается, они используют виртуальные АТС.
На данный момент такими технологиями пользуются лишь там, где доход от одного клиента высокий (в силу дороговизны услуг от таких сервисов), но в будущем, уверены эксперты, их будут использовать многие другие секторы.
Юристы уверены – это является нарушением сразу двух законов, «О рекламе» и «О персональных данных». Так, номер телефона является частью персональных данных, обработка которых допускается лишь с согласия абонента.
Что касается законодательства о рекламе, распространять ее по сетям электросвязи можно лишь с предварительного согласия абонента. Иначе рекламодателю грозит штраф в сумме от 100 до 500 тысяч рублей. Но наказать их сложно, для этого нужно составить заявление и приложить к нему аудиозапись разговора.