Q Link Wireless hizo que la información privada del cliente fuera accesible con solo un número de teléfono

Un operador de telefonía móvil permitió que cualquier persona con el número de teléfono de uno de sus clientes acceda a su información personal, incluido el nombre, la dirección, el número de teléfono y el historial de llamadas y mensajes de texto, según un informe de Ars Technica. El operador, Q Link Wireless, afirmó tener más de dos millones de clientes en 2019.
Ars Technica señaló una publicación de Reddit que decía que la aplicación utilizada por el operador y su subsidiaria Hello Mobile nunca pidió una contraseña ni ninguna información de identificación cuando el usuario estaba iniciando sesión con un número de teléfono. Al revisar las revisiones, hay referencias a las malas prácticas de seguridad (por decirlo suavemente) que se remontan a diciembre de 2020. Si bien no está claro cuándo apareció el sistema de inicio de sesión sin credenciales, hay una nota de actualización de hace dos años que menciona una "Proceso de inicio de sesión actualizado".
Había una gran cantidad de información disponible en la aplicación, que no solicitaba una contraseña
Según los informes, el operador solucionó el problema, aunque parece que puede haberlo hecho simplemente desactivando los inicios de sesión en la aplicación por completo. Antes del cambio, Ars podía ver, pero no cambiar, una gran cantidad de información de un cliente de Hello Mobile que ofreció voluntariamente su número de teléfono, incluido su nombre, dirección, número de cuenta, dirección de correo electrónico y los números con los que se había contactado o estado. contactado por. El último es probablemente el más sensible: si bien no se mostró el contenido de los mensajes de texto o las llamadas telefónicas, todavía hay mucha información que se puede obtener al saber con quién habló y cuándo habló con él.
La descripción de la aplicación menciona que permite a los usuarios agregar más minutos o datos a sus planes, pero no está claro si eso requirió autenticación adicional. Independientemente, todavía hay un montón de información disponible para cualquiera que pueda obtener el número de teléfono de uno de los clientes de Q Link Wireless. Según se informa, Q Link Wireless no ha notificado a sus clientes que su información ha sido accesible, lo que parece ser una tendencia preocupante entre las empresas que filtran datos de usuarios.
Ars no encontró evidencia de que la vulnerabilidad de seguridad haya sido ampliamente explotada, pero tener que preocuparse de que otros tengan acceso a una gran cantidad de sus datos confidenciales no es algo que nadie necesite.
Q Link Wireless no respondió de inmediato a una solicitud de comentarios.