No se requiere contraseña: el operador de telefonía móvil expone los datos de millones de cuentas

No se requiere contraseña: el operador de telefonía móvil expone los datos de millones de cuentas

imágenes falsas

Q Link inalámbrico, un proveedor de servicios de datos y telefonía móvil de bajo costo para 2 millones de clientes con sede en EE. UU., ha estado poniendo datos confidenciales de cuentas a disposición de cualquiera que conozca un número de teléfono válido en la red del operador, muestra un análisis de la aplicación de administración de cuentas de la compañía.

Q Link Wireless, con sede en Dania, Florida, es lo que se conoce como un operador de red virtual móvil, lo que significa que no opera su propia red inalámbrica, sino que compra servicios a granel de otros operadores y los revende. Proporciona teléfonos y servicios subsidiados por el gobierno a consumidores de bajos ingresos a través de la FCC Programa Lifeline. También ofrece una gama de planes de servicio de bajo costo a través de su Hola móvil marca. En 2019, Q Link Wireless dicho tenía 2 millones de clientes.

El operador ofrece una aplicación llamada Mi cuenta móvil (para ambos iOS y Androide) que los clientes pueden usar para monitorear historiales de texto y minutos, uso de datos y minutos, o para comprar minutos o datos adicionales. La aplicación también muestra el cliente:

  • Nombre y apellido
  • Direccion de casa
  • Historial de llamadas telefónicas (desde / hasta)
  • Historial de mensajes de texto (desde / hasta)
  • Se necesita el número de cuenta del operador telefónico para la portabilidad
  • Dirección de correo electrónico
  • Últimos cuatro dígitos de la tarjeta de pago asociada

Las capturas de pantalla de la versión de iOS tienen este aspecto:

No se requiere contraseña. . . ¿Qué?

Desde al menos diciembre y posiblemente mucho antes, My Mobile Account ha estado mostrando esta información para cada cuenta de cliente cada vez que se le presenta un número de teléfono válido de Q Link Wireless. Así es, no se requiere contraseña ni nada más.

Cuando vi por primera vez un Hilo de Reddit hablando de la aplicación, pensé que había algún tipo de error. Así que instalé la aplicación, obtuve el permiso de otro lector de hilos e ingresé su número de teléfono. Inmediatamente estaba viendo su información personal, como demuestran las imágenes redactadas arriba.

La persona que inició el hilo de Reddit dijo en un correo electrónico que informó por primera vez de esta evidente inseguridad a Q Link Wireless en algún momento del año pasado. Los correos electrónicos que proporcionó muestran que notificó al soporte dos veces más este año, primero en febrero y nuevamente este mes.

Comentarios dejados en las revisiones tanto de iOS y Androide Las ofertas también informaron sobre este problema, en varios casos con una respuesta de un representante de Q Link Wireless agradeciendo a la persona por los comentarios.

Negligencia absoluta

La exposición de datos es seria porque los números de teléfono son muy fáciles de conseguir. Se los damos a posibles empleadores, mecánicos de automóviles y otros extraños. Y, por supuesto, los números de teléfono los pueden obtener fácilmente los detectives privados, los cónyuges abusivos, los acosadores y otras personas interesadas en una persona en particular. Q Link Wireless hacer que los datos de los clientes estén disponibles gratuitamente para cualquiera que conozca el número de teléfono de un cliente es un acto de total negligencia.

Comencé a enviarle un correo electrónico al operador sobre la inseguridad el miércoles y seguí con casi una docena de mensajes más. CEO y fundador de Q Link Wireless Issa Asad no respondió a pesar de que noté que cada hora que dejaba que la exposición de los datos continuara agravaba el riesgo para sus clientes.

Luego, a última hora del jueves, My Mobile Account dejó de conectarse a las cuentas de los clientes. Cuando se le presenta el número de un cliente de Q Link Wireless, la aplicación responde con un mensaje que dice: «El número de teléfono no coincide con ninguna cuenta». Las versiones de iOS y Android de la aplicación se actualizaron por última vez en febrero, lo que sugiere que la solución es el resultado de un cambio que Q Link Wireless realizó en un servidor.

No se requiere contraseña: el operador de telefonía móvil expone los datos de millones de cuentas

Si bien My Mobile Account mostraba la información personal de los clientes, no proporcionaba un medio para cambiar esos datos. La aplicación tampoco mostraba contraseñas. Eso significa que una persona no podría explotar esta filtración para realizar un intercambio de SIM o bloquear a los usuarios de sus cuentas, aunque la exposición podría facilitar que un posible intercambiador de SIM haga ingeniería social a un empleado de Q Link Wireless para que transfiera un número a un teléfono nuevo.

No hay indicios de una forma u otra de que esta fuga haya sido explotada activamente. Los investigadores de la firma de seguridad Intel471 no encontraron discusiones en foros criminales sobre los datos disponibles, pero no hay forma de saber si fueron abusados ​​a menor escala, digamos por alguien que un cliente de Q Link Wireless conoce o con quien ha interactuado.

Como usuarios de teléfonos que buscan un servicio móvil de bajo costo y sin lujos, los clientes de Q Link son parte de una población que puede ser menos capaz de pagar los servicios de violación de datos y otros servicios de privacidad. El operador aún tiene que notificar a los clientes sobre la exposición de los datos. Las personas que utilizan el servicio deben considerar que cualquier dato que muestre la aplicación esté disponible para cualquier persona que tenga su número de teléfono.