Oprogramowanie

Hasło nie jest wymagane: operator komórkowy udostępnia dane milionów kont

Hasło nie jest wymagane: operator komórkowy udostępnia dane milionów kont

Getty Images

Q Link Wireless, dostawca tanich telefonów komórkowych i usług transmisji danych dla 2 milionów klientów w USA, udostępnia poufne dane konta każdemu, kto zna prawidłowy numer telefonu w sieci operatora, analiza zarządzania kontem firmy aplikacja pokazuje.

Q Link Wireless z siedzibą w Danii na Florydzie jest tak zwanym operatorem wirtualnej sieci komórkowej, co oznacza, że ​​nie obsługuje własnej sieci bezprzewodowej, ale raczej kupuje hurtowo usługi od innych przewoźników i odsprzedaje je. Zapewnia subsydiowane przez rząd telefony i usługi konsumentom o niskich dochodach w ramach programu Lifeline firmy FCC. Oferuje również szereg tanich planów serwisowych za pośrednictwem swojej marki Hello Mobile. W 2019 roku Q Link Wireless podał, że ma 2 miliony klientów.

Operator oferuje aplikację o nazwie Moje konto mobilne (zarówno na iOS, jak i na Androida), której klienci mogą używać do monitorowania historii tekstu i minut, danych i minut lub do kupowania dodatkowych minut lub danych. Aplikacja wyświetla również:

  • Imię i nazwisko
  • Adres domowy
  • Historia połączeń telefonicznych (od / do)
  • Historia wiadomości tekstowych (od / do)
  • Numer konta operatora telefonicznego potrzebny do przeniesienia
  • Adres e-mail
  • Ostatnie cztery cyfry powiązanej karty płatniczej

Zrzuty ekranu z wersji na iOS wyglądają następująco:

Nie jest wymagane hasło. . . co?

Co najmniej od grudnia, a być może znacznie wcześniej, Moje konto mobilne wyświetla te informacje dla każdego konta klienta, gdy pojawia się ważny numer telefonu Q Link Wireless. Zgadza się – nie jest wymagane żadne hasło ani nic innego.

Kiedy po raz pierwszy zobaczyłem wątek Reddit omawiający aplikację, pomyślałem, że na pewno jest jakiś błąd. Więc zainstalowałem aplikację, uzyskałem pozwolenie od innego czytnika wątków i wprowadziłem jego numer telefonu. Natychmiast przejrzałem jego dane osobowe, jak pokazują powyższe zredagowane obrazy.

Osoba, która założyła wątek Reddit, powiedziała w e-mailu, że po raz pierwszy zgłosił ten rażący brak bezpieczeństwa firmie Q Link Wireless w zeszłym roku. Z e-maili, które przesłał, wynika, że ​​w tym roku ponownie dwukrotnie powiadomił o wsparciu, najpierw w lutym i ponownie w tym miesiącu.

W opiniach wystawionych w recenzjach dotyczących systemów iOS i Android również opisywano ten problem, w kilku przypadkach z odpowiedzią przedstawiciela Q Link Wireless, który dziękował tej osobie za opinię.

Rażące zaniedbanie

Narażenie na dane jest poważne, ponieważ numery telefonów są tak łatwe do zdobycia. Dajemy je przyszłym pracodawcom, mechanikom samochodowym i innym nieznajomym. Oczywiście numery telefonów są łatwo uzyskiwane przez prywatnych detektywów, agresywnych małżonków, prześladowców i inne osoby, które są zainteresowane konkretną osobą. Udostępnianie danych klienta przez Q Link Wireless każdemu, kto zna numer telefonu klienta, jest aktem rażącego zaniedbania.

W środę zacząłem wysyłać e-maile do przewoźnika o braku bezpieczeństwa i otrzymałem prawie tuzin kolejnych wiadomości. Dyrektor generalny i założyciel Q Link Wireless, Issa Asad, nie odpowiedział, mimo że zauważyłem, że co godzinę pozwalał na dalsze udostępnianie danych, co potęgowało ryzyko dla jego klientów.

Późnym czwartkiem Moje konto mobilne przestało łączyć się z kontami klientów. Po wyświetleniu numeru klienta Q Link Wireless aplikacja odpowiada komunikatem „Numer telefonu nie pasuje do żadnego konta”. Wersje aplikacji na iOS i Androida zostały ostatnio zaktualizowane w lutym, co sugeruje, że poprawka jest wynikiem zmiany Q Link Wireless dokonanej na serwerze.

Moje konto mobilne wyświetlało dane osobowe klientów, ale nie zapewniało możliwości zmiany tych danych. Aplikacja nie wyświetlała również haseł. Oznacza to, że dana osoba nie mogłaby wykorzystać tego wycieku do wykonania wymiany karty SIM lub zablokowania użytkownikom dostępu do ich kont, chociaż narażenie może ułatwić potencjalnej wymianie karty SIM do inżyniera społecznościowego pracownika Q Link Wireless w celu przeniesienia numeru do nowy telefon.

Nic nie wskazuje na to, aby ten wyciek był aktywnie wykorzystywany. Badacze z firmy zajmującej się bezpieczeństwem Intel471 nie znaleźli żadnych dyskusji na forach przestępczych na temat dostępnych danych, ale nie ma sposobu, aby dowiedzieć się, czy zostały one wykorzystane na mniejszą skalę, na przykład przez kogoś, kogo klient Q Link Wireless zna lub z którym miał do czynienia.

Jako użytkownicy telefonów szukający tanich i prostych usług mobilnych, klienci Q Link są częścią populacji, która może być najmniej stać na usługi związane z naruszeniem danych i inne usługi związane z prywatnością. Przewoźnik nie powiadomił jeszcze klientów o ujawnieniu danych. Osoby korzystające z usługi powinny wziąć pod uwagę, że wszelkie dane wyświetlane przez aplikację są dostępne dla każdego, kto zna ich numer telefonu.

Zostaw komentarz

Maciek Luboński
Z wykształcenia jestem kucharzem , ale to nie przeszkadza mi pisać dla Was tekstów z wielu ciekawych dziedzin , których sam jestem fanem.Piszę dużo i często nie na tak jak trzeba , ale co z tego skoro tak naprawdę liczy się pasja.

Najlepsze recenzje

Video

gallery

Facebook