无需密码:移动载体公布数百万个帐户的数据
Q链路无线,低成本移动电话和数据服务的提供商为200万美国客户,已经为在运营商网络上了解有效电话号码的人提供敏感的帐户数据,这是公司的账户管理的分析应用程序节目。
丹尼亚,佛罗里达州的Q链接无线是最称为移动虚拟网络运营商的,这意味着它不会操作自己的无线网络,而是从其他运营商中批量购买服务并转售它们。它通过FCC的生命线计划为低收入消费者提供政府补贴的电话和服务。它还通过其Hello Mobile品牌提供一系列低成本的服务计划。 2019年,Q Link Wireless表示,它有200万客户。
该运营商提供一个名为My Mobile帐户(对于iOS和Android)的应用程序,客户可以用于监控文本和分钟历史,数据和分钟使用情况,或购买额外的分钟或数据。该应用程序还显示客户:
由于至少12月份并可能更早,我的移动帐户一直在提供有效的Q链路无线电话号码的情况下为每个客户账户显示此信息。这是正确的 - 无密码或其他任何其他要求。
当我第一次看到一个红线线程讨论这个应用程序时,我以为确定有某种错误。所以我安装了该应用程序,获得了另一个线程阅读器的权限,并输入了他的电话号码。我立即查看了他的个人信息,因为上面的编写的图像。
启动Reddit线程的人在一封电子邮件中表示,他首先向去年的某个时候向Q链接无线报告了这种辉煌的不安全。他提供的电子邮件显示,他今年再次通知了两次支持,本月首次又一次地再次支持。
对iOS和Android产品的评论中的评论中还有反馈意见,还报告了此问题,在几个案例中,Q链接无线代表的回复感谢该人的反馈。
数据曝光是严重的,因为电话号码很容易来。我们将他们提供给潜在的雇主,汽车力学和其他陌生人。当然,通过私人侦探,辱骂配偶,追踪者和对特定人感兴趣的人轻松获得电话号码。 Q链接无线使客户数据自由地提供给解客户'电话号码的任何人都是彻头彻尾的疏忽行为。
我开始在周三通过电子邮件向承运人发送电子邮件,并随访几十多条消息。 Q Link无线CEO和创始人Issa Asa asad尽管我指出每小时他允许数据曝光以继续对其客户的风险复杂化。
然后在周四迟到,我的移动帐户停止了客户的帐户。当介绍Q链路无线客户的数量时,应用程序响应消息,“电话号码与任何帐户不匹配”。应用程序的IOS和Android版本是在2月上次更新的,这表明修复程序是对服务器进行更改Q链路无线的结果。
虽然我的移动帐户显示了客户的个人信息,但它并没有提供更改该数据的方法。该应用程序也没有显示密码。这意味着一个人无法利用这种泄漏来执行SIM交换或锁定用户的账户,尽管曝光可能使A社会工程师A Q链接无线员工更容易进入一个数字一个新的手机。
没有一种方式以某种方式或另一种方式是积极利用这种泄漏。来自安全公司Intel471的研究人员在犯罪论坛上发现了关于可用数据的犯罪论坛,但没有办法知道是否滥用较小的规模,由某人讨论Q链接无线客户知道或与之交互。
由于寻求低成本,无装饰移动服务的电话用户,Q链接客户是人口的一部分,可能是能够承受数据漏洞服务和其他隐私服务。承运人尚未通知客户数据曝光。使用该服务的人应考虑应用程序显示的任何数据,以供具有其电话号码的任何人可用。
