问连接无线一份对该公司账户管理应用程序的分析显示,该公司一直向任何知道其网络上有效电话号码的人提供敏感账户数据。
总部位于佛罗里达州达尼亚的Q Link Wireless被称为移动虚拟网络运营商,这意味着该公司不运营自己的无线网络,而是从其他运营商那里批量购买服务并转售。它通过联邦通信委员会向低收入消费者提供政府补贴的电话和服务生命线的程序.它还提供一系列低成本的服务计划你好,手机品牌。2019年,Q领无线说它有200万客户。
该运营商提供了一个名为My Mobile Account的应用程序(两者都适用)iOS和安卓),客户可以使用它来监控文本和分钟历史记录、数据和分钟使用情况,或者购买额外的分钟或数据。该应用程序还显示客户的信息:
- 姓和名
- 家庭住址
- 通话记录(从/到)
- 短信记录(从/到)
- 移植所需的电话运营商帐号
- 电子邮件地址
- 相关支付卡的后四位
iOS版本的截图如下:
不需要密码……什么?
至少从12月开始,我的移动帐户一直在为每一个客户帐户显示有效的Q Link无线电话号码的信息。没错——不需要密码或其他任何东西。
当我第一次看到Reddit的线程在讨论这个应用程序时,我肯定是出了什么差错。所以我安装了这个应用程序,获得了另一个线程读取器的许可,然后输入了他的电话号码。我立即查看了他的个人信息,就像上面经过编辑的图片所示。
在Reddit上发帖子的人在一封电子邮件中说,他在去年某个时候首次向Q Link Wireless报告了这种明显的不安全。他提供的电子邮件显示,他今年两次通知了支持,第一次是在2月,第二次是在这个月。
在评论中留下的反馈iOS和安卓产品也报告了这个问题,在一些情况下,Q Link无线的代表对其反馈表示感谢。
彻头彻尾的疏忽
数据暴露是严重的,因为电话号码很容易得到。我们把它们送给未来的雇主、汽车修理工和其他陌生人。当然,私人侦探、虐待配偶、跟踪者和其他对某个人有兴趣的人都很容易获得电话号码。Q Link Wireless将客户数据免费提供给任何知道客户电话号码的人是一种彻头彻尾的疏忽行为。
周三,我开始给运营商发电子邮件,谈论不安全的问题,随后又发了近十几条信息。Q Link无线首席执行官和创始人伊萨阿萨德他没有回复我,尽管我说他每小时都在让数据暴露给他的客户增加风险。
然后在周四晚些时候,我的手机账户停止与客户的账户连接。当看到Q Link无线客户的电话号码时,该应用程序会回复一条信息:“电话号码与任何账户都不匹配。”这款应用的iOS和Android版本最近一次更新是在今年2月,这表明该修复是由于Q Link Wireless对服务器进行了更改。
虽然我的手机账户显示了客户的个人信息,但它没有提供改变这些数据的方法。该应用程序也没有显示密码。这意味着人们不能利用这个漏洞进行SIM卡交换或锁定用户的账户,尽管这个漏洞可能会让想要交换SIM卡的人更容易把一个号码移植到Q Link Wireless的员工的手机上。
没有任何迹象表明这种泄漏被积极利用了。安全公司Intel471的研究人员在犯罪论坛上没有发现关于可用数据的讨论,但也无法知道这些数据是否被更小范围的滥用,比如被Q Link Wireless的客户认识或互动过的人滥用。
随着手机用户寻求低成本、不需要额外服务的移动服务,Q Link的客户可能是最无力负担数据泄露服务和其他隐私服务的人群之一。运营商尚未通知客户数据泄露的情况。使用该服务的人应该考虑应用程序显示的任何数据,以便任何人都能获得他们的电话号码。
你必须登录或创建一个帐户置评。