No se requiere contraseña: el proveedor de servicios inalámbricos proporciona datos para millones de cuentas


No se requiere contraseña: el proveedor de servicios inalámbricos proporciona datos para millones de cuentas

imágenes falsas

Q Link Wireless, un proveedor de servicios de datos y telefonía celular de bajo costo para 2 millones de clientes en los Estados Unidos, ha puesto la información confidencial de la cuenta a disposición de cualquier persona con un número de teléfono válido en la red del operador. Este es un análisis de los programas de la aplicación de gestión de cuentas de la empresa.

Q Link Wireless, con sede en Dania, Florida, es conocido como un operador de red virtual móvil. Esto significa que no opera su propia red inalámbrica, sino que compra servicios a granel a otros operadores de red y los vende. Proporciona teléfonos y servicios subsidiados por el gobierno a consumidores de bajos ingresos a través del programa Lifeline de la FCC. La compañía también ofrece una gama de planes de servicio de bajo costo a través de la marca Hello Mobile. En 2019, Q Link Wireless dijo que tenía 2 millones de clientes.

El operador de red ofrece una aplicación llamada «Mi cuenta móvil» (para iOS y Android) con la que los clientes pueden monitorear el historial de texto y minutos, el uso de datos y minutos o comprar minutos o datos adicionales. La aplicación también muestra:

  • Nombre y apellido
  • Direccion de casa
  • Historial de llamadas (desde / hasta)
  • Historial de SMS (desde / hasta)
  • Número de cuenta del proveedor de telefonía que se requiere para la portabilidad
  • Dirección de correo electrónico
  • Los últimos cuatro dígitos de la tarjeta de pago asociada

Las capturas de pantalla de la versión de iOS tienen este aspecto:

No se requiere contraseña. . . ¿Qué?

Durante al menos diciembre, y posiblemente mucho antes, My Mobile Account ha estado mostrando esta información para cada cuenta de cliente cuando se muestra un número de teléfono móvil Q Link válido. Así es, no se requiere contraseña ni nada.

La primera vez que vi un hilo de Reddit discutiendo la aplicación, estaba seguro de que había un error. Así que instalé la aplicación, obtuve el permiso de otro lector de hilos e ingresé su número de teléfono. Inmediatamente miré su información personal, como se muestra en las imágenes editadas arriba.

La persona que inició el hilo de Reddit dijo en un correo electrónico que informaron esta aparente incertidumbre a Q Link Wireless en algún momento del año pasado. Los correos electrónicos que proporcionó muestran que notificó al soporte dos veces este año, primero en febrero y nuevamente este mes.

Los comentarios de las calificaciones de las ofertas de iOS y Android también informaron sobre este problema. En varias ocasiones, un representante de Q Link Wireless respondió a la persona para recibir comentarios.

Negligencia grave

La exposición de datos es grave porque los números de teléfono son muy fáciles de conseguir. Se los transmitimos a posibles empleadores, mecánicos de automóviles y otros extraños. Y, por supuesto, se puede acceder fácilmente a los números de teléfono de investigadores privados, cónyuges abusivos, acosadores y cualquier otra persona que tenga interés en una persona en particular. Q Link Wireless, donde los datos del cliente están disponibles gratuitamente para cualquier persona que conozca el número de teléfono de un cliente, es una negligencia grave.

Comencé a enviar un correo electrónico al operador sobre la incertidumbre el miércoles y seguí con casi una docena de mensajes más. El director ejecutivo y fundador de Q Link Wireless, Issa Asad, no respondió, aunque descubrí que cada hora que permitía que la exposición de datos continuara aumentaba el riesgo para sus clientes.

Mi cuenta móvil dejó de conectarse a las cuentas de los clientes a última hora del jueves. Cuando se muestra un número de cliente de Q Link Wireless, la aplicación responde con el mensaje: «El número de teléfono no coincide con una cuenta». Las versiones de iOS y Android de la aplicación se actualizaron por última vez en febrero, lo que sugiere que la actualización es el resultado de un cambio que Q Link Wireless realizó en un servidor.

Mi cuenta móvil mostraba la información personal de los clientes, pero no había forma de cambiar esa información. La aplicación tampoco mostró ninguna contraseña. Esto significa que una persona no puede aprovechar esta filtración para realizar un intercambio de SIM o bloquear a los usuarios de sus cuentas, aunque revelarlo puede facilitar que un potencial intercambiador de SIM obtenga un agente de Q Link Wireless para transferir un número después de la ingeniería social para ganar. un teléfono nuevo.

No hay evidencia, de una forma u otra, de que esta filtración haya sido explotada activamente. Los investigadores de la firma de seguridad Intel471 no encontraron discusión sobre los datos disponibles en foros criminales, pero no hay forma de saber si se ha utilizado indebidamente a pequeña escala, por ejemplo, por alguien que un cliente de Q Link Wireless conoce o con quien ha interactuado.

Como usuarios de teléfonos que buscan un servicio celular económico y sin lujos, los clientes de Q Link pertenecen a una población que puede ser menos capaz de pagar la violación de datos y otros servicios de privacidad. El operador aún debe informar a los clientes sobre la exposición de los datos. Los usuarios del servicio deben considerar que todos los datos que muestra la aplicación están disponibles para cualquier persona que tenga su número de teléfono.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *