據Ars Technica的一份報告稱,一家移動運營商允許任何擁有其客戶電話號碼的人訪問其個人資訊,包括姓名、地址、電話號碼、簡訊和通話記錄。運營商Q Link Wireless聲稱在2019年擁有超過200萬的客戶。
Ars Technica注意到Reddit釋出的一則帖子稱,運營商及其子公司Hello Mobile使用的應用程式在使用者使用電話號碼登入時從未要求輸入密碼或任何身份資訊。縱觀這些評論,有人提到了可以追溯到2020年12月的糟糕的安全實踐(委婉地說)。雖然還不清楚無憑證登入系統何時出現,但兩年前的更新說明中提到了“更新的登入過程”
據報道,該運營商已經解決了這個問題——儘管它似乎只是完全關閉了應用程式的登入。在更改之前,Ars能夠看到(但不能更改)來自一個Hello移動客戶的大量資訊,該客戶自願提供自己的電話號碼,包括姓名、地址、賬號、電子郵件地址,以及他們聯絡過或被聯絡過的號碼。最後一個可能是最敏感的-雖然簡訊或電話的內容沒有顯示,但仍然有很多資訊可以從你和誰交談以及何時與他們交談中收集。
該應用的描述提到,它允許使用者在計劃中增加更多的時間或資料,但不清楚這是否需要額外的身份驗證。不管怎樣,仍然有大量的資訊可以提供給任何能夠獲得Q Link Wireless客戶電話號碼的人。據報道,Q Link Wireless沒有通知其客戶他們的資訊已被訪問-這似乎是一個令人擔憂的趨勢,洩漏使用者資料的公司。
Ars沒有發現任何證據表明這個安全漏洞被廣泛利用,但是擔心其他人能夠訪問他們大量的敏感資料並不是任何人都需要的。
qlinkwireless沒有立即回覆置評請求。
...用程式訪問你的**應用程式和你的聯絡人。對Truecaller隱藏私人資訊的唯一方法是安裝應用程式,然後手動將其設定為私人。如果您選擇從Truecaller中刪除電話號碼,則無法再使用該服務。 ...
...能會將金鑰交給好友列表、個人詳細資訊、**號碼和其他私人詳細資訊。 ...
... 如果你是一個Sprint客戶,請隨時轉發任何垃圾簡訊到7726報告他們。一個自動服務會迴應詢問傳送它的號碼;在那之後你就都準備好了。 ...
...透過登入並轉到您的個人資料向您的帳戶新增密碼。在“無線密碼”下,單擊“管理額外安全”。單擊該複選框將要求您在進行重大更改時提供密碼。 ...
... 它可以讓你建立一個私人的第二個號碼,並使用它傳送簡訊和打電話,任何時候你不想透露你的主要號碼。 ...