Ingen anonymitet med SMS-registrering? (Wywallet)

För någon vecka sen tänkte jag skriva en känslig sak jag inte vill ha sammankopplat med detta konto och reggade därför ett nytt. Orkade inte vänta de tre dagarna de skulle ta och aktivera det så jag skickade ett aktiverings-SMS. Fick då svar att jag måste regga mig på Wywallet. Inte för att saken var så allvarlig att jag inte vågade regga mig där, men jag tycker att det är en principsak att få slippa. Så jag sket i det och lät dagarna gå istället.

Efter att ha läst på lite ( bland annat här: https://www.flashback.org/t1904509 ) så förstod jag att det är min operatör och inte Flashback som kräver att jag registrerar mig. Men det finns alltså inget sätt att komma runt detta annat än att vänta?

Lagstiftning på EU-nivå förbjuder sen en tid tillbaka anonyma betalningar av detta slag.

Nej, dessvärre finns det inget sätt att komma undan liknande tjänster vid sms-betalning. De anonyma alternativen verkar bli allt färre och jag vet dessvärre inte om Admin tittar på någon annan lösning.

det har skapats mycket problem att man kan vara anonym på internet, den möjligheten kommer försvinna mer

Det är bara en tidsfråga innan man måste registrera sig för att använda googles tjänster, dvs youtube och sökmotorn

Det är tydligen svårt att inse att gnäll om tågbiljetter inte är något som har i den här tråden att göra, så ni får helt enkelt lita på mig när jag säger att det är OT.

// Mod

Nej, det är bara så operatörerna säger. Tror du inte på mig kan du fundera över varför EU tillåter svensken att använda anonyma telefoner för att rösta på Melodifestivalen, något som inte är gratis. Operatörerna vill att vi ska regga oss på Wywallet så att de kan sälja våra personuppgifter och göra riktad reklam, men har gjort ett undantag för Melodifestivalen eftersom det drar in såpass mycket pengar.


Som det är nu så SMS:ar man sitt kontonummer, alltså talet som syns i URL-en när man kollar på kontots profil. Ta tex nr 70995: https://www.flashback.org/u70995

Skulle man inte kunna salta (http://sv.wikipedia.org/wiki/Salt_(kryptografi) ) medlemsnummret, hasha det ( http://en.wikipedia.org/wiki/Hash_function ) och därmed producera en kod som går att SMS:a utan att en utomstående kan se vilket konto det tillhör?

Bra tänkt. Men istället skulle man kunna ge användaren en unik slumpad kod att SMS:a in istället. En engångskod utan någon koppling till några kontonummer. Då utesluts även den teoretiska möjligheten att hashet bruteforce:as och kopplas till någon medlem. Ska man istället försöka utesluta bruteforcing genom bättre hash så känns det som att det blir långa och knepiga strängar att SMS:a in.

Om engångskoden inte av någon anledning heller lagras hos forumet efter registreringen så finns det inte heller någon möjlighet att göra en koppling via kod och forum direkt.

Det har ju inte varit speciellt anonymt att betala med telefonabonnemang, om man inte har
använt ett kontantkort att betala med.

Oavsett hur man betalar, så ser ju alltid admins och några utvalda moderatorer användarnas
ip-adresser.

Att vara anonym är man ändå, för andra användare, även om man använder MyWallet.

Kom att tänka på att vbulletin sparar tidpunkten för registrering på sekunden när. Men med funktionen microtime() kan man spara tiden på en miljondels sekund när. Fyra tecken i Base64 ( http://sv.wikipedia.org/wiki/Base64) kan representera tal upp till 16,7 miljoner. Så att koda decimalerna med fyra tecken som ska SMS:as in är inga problem. Man bör nog spara sekundsiffrorna och decimalerna i olika kolumner i databasen för bättre prestanda. Efter tre dygn eller när betalningen kommer in plockas decimalerna bort.

Skulle det finnas flera konton som reggas med samma decimaler inom tidsperioden adderar man bara en miljondel tills man kommer till ett ledigt nummer.



Problemet är att det ingår i Wywallets villkor att de hade rätt att spara ens inköp och sälja uppgifterna vidare till tredje part. Teoretiskt sett skulle man alltså kunna få riktad reklam baserat på vad man skriver på Flashback. Man skulle också kunna tänka sig ett scenario där någon reggar ett nytt konto för att avslöja en stor skandal och så köper någon som inte gillar att sanningen kommer fram uppgifterna om vem som gjort SMS-betalningen.

http://www.skanesfria.nu/artikel/95944

Efter kritiken har Wywallet ändrat sig och säger att man kan maila dem och tacka nej till att ens uppgifter säljs vidare. Det krävs alltså ett aktivt val för att förhindra detta, något som nog är lätt att missa när man precis börjat använda Wywallet.

Vilka kopplingar finns det för operatören att göra mellan användare och person, ifall koden är en slumpmässigt genererad engångskod? Operatören skulle kunna se att meddelanden skickats till Flashback och teoretiskt kunna se koden (har ingen egen insikt i vad som syns eller övervakas) men inte kunna koppla det till ett konto.

Från Flashbacks sida borde man väl egentligen kunna koppla ett konto till ett mobilnummer och det i sin tur till en identitet. Men samtidigt så är det inte särskilt annorlunda med IP-adresserna som du säger. Besöker man forumet med sin riktiga IP-adress så har man ändå mer eller mindre gett sidan sitt förtroende för hanteringen av sådan information.