Мобильная компания позволила любому, у кого есть телефонные номера своих клиентов, получить доступ к их личной информации, включая имя, адрес, номер телефона, текстовые сообщения и историю звонков. Отчет от Ars Technica. Оператор связи, Q Link Wireless, Он утверждал, что у него более двух миллионов клиентов. В 2019 г.
Ars Technica Обратите внимание на сообщение Reddit Он говорит, что приложение, используемое оператором связи и его дочерней компанией Hello Mobile, никогда не запрашивало пароль или какую-либо идентифицирующую информацию, когда пользователь входил в систему по номеру телефона. стремиться По отзывам, Есть упоминания о ненадлежащих методах обеспечения безопасности (мягко говоря), относящиеся к декабрю 2020 года. Хотя неясно, когда система входа в систему появилась без учетных данных, два года назад есть примечание к обновлению, указывающее на «обновленный процесс входа в систему».
Сообщается, что перевозчик устранил проблему, хотя Похоже, она сделала После того, как вы полностью отключите вход в приложение. До изменения Ars Он мог видеть массив информации от клиента Hello Mobile, который добровольно предоставил свой номер телефона, не меняя его, включая имя, адрес, номер счета, адрес электронной почты и номера, по которым они звонили или звонили. Последний, пожалуй, самый важный — хотя содержание текстовых сообщений или телефонных звонков не отображается, еще много информации можно получить, зная, с кем вы разговаривали и когда разговаривали с ними.
В описании приложения указано, что оно позволяет пользователям добавлять в свои планы больше минут или данных, но неясно, требует ли это дополнительной аутентификации. Несмотря на это, у всех, кто смог получить номер телефона клиента Q Link Wireless, по-прежнему было много информации. Сообщается, что Q Link Wireless не уведомляла своих клиентов о доступе к их информации — что, похоже, Тревожная тенденция Между компаниями Причина утечки пользовательских данных.
Ars Не было обнаружено никаких доказательств того, что уязвимость широко использовалась, но беспокоиться о том, что другие получают доступ к слишком большому объему их конфиденциальных данных, никому не понадобится.
Q Link Wireless не сразу ответила на запрос о комментарии.