Q Link Wireless是一家向200万美国用户提供低成本手机和数据服务的供应商，该公司的账户管理应用程序分析显示，只要知道运营商网络上的有效电话号码，就可以获取敏感账户数据。

总部位于佛罗里达州达尼亚市的Q Link Wireless是一家被称为移动虚拟网络运营商的公司，沐鸣开户测速这意味着该公司并不运营自己的无线网络，而是从其他运营商那里批量购买服务并转售。它通过联邦通信委员会的生命线计划向低收入消费者提供政府补贴的电话和服务。它还通过Hello Mobile品牌提供一系列低成本服务计划。2019年，Q Link无线表示其拥有200万用户。

运营商提供了一款名为“我的移动账户”(My Mobile Account)的应用(适用于iOS和安卓系统)，用户可以用它来监控文本和分钟历史、数据和分钟使用情况，或者购买额外的分钟或数据。该应用程序还显示了客户的:

姓和名

家庭住址

通话记录(从/到)

短信记录(从/到)

移植时需要的电话运营商帐号

电子邮件地址

相关支付卡的后四位数字

iOS版本的截图如下:

不需要密码……什么?

至少从12月起，甚至更早的时候，我的移动账户就会为每个客户账户显示这一信息，只要它显示了一个有效的Q Link无线电话号码。没错，不需要密码或其他任何东西。

当我第一次看到Reddit上讨论这款应用的帖子时，我肯定是弄错了。于是我安装了这个应用程序，得到了另一个读线程者的许可，并输入了他的电话号码。我立刻看到了他的个人信息，就像上面编辑过的图片所展示的那样。

在Reddit上开这个帖子的人在一封电子邮件中说，他在去年的某个时候第一次向Q Link Wireless报告了这种明显的不安全。他提供的电子邮件显示，他今年再次通知了支持部门两次，第一次是在2月份，第二次是在本月。

iOS和Android产品的反馈也反映了这一问题，在一些情况下，沐鸣开户测速Q Link Wireless的代表对这个人的反馈表示感谢。

彻头彻尾的疏忽

数据泄露之所以严重，是因为电话号码很容易得到。我们把它们送给未来的雇主、汽车修理工和其他陌生人。当然，私人侦探、施虐配偶、跟踪者和其他对某个人感兴趣的人很容易就能得到电话号码。Q Link Wireless向任何知道客户电话号码的人免费提供客户数据是一种彻头彻尾的疏忽行为。

周三，我开始给航空公司发电子邮件，表达自己的不安全感，随后又发了十几条邮件。Q Link Wireless的首席执行官兼创始人Issa Asad没有回复我，尽管我指出他每隔一小时就会让数据泄露加剧客户的风险。

然后在周四晚些时候，我的手机账户停止了与客户账户的连接。当Q Link无线客户的电话号码出现时，该应用会回复一条信息:“电话号码与任何账户都不匹配。”该应用的iOS和Android版本的最后一次更新是在2月份，这表明该修复是Q Link Wireless对服务器做了修改的结果。

虽然我的手机账户显示了客户的个人信息，但它没有提供更改这些数据的方法。该应用程序也不显示密码。这意味着人们不能利用这次泄露来进行SIM卡交换或锁定用户的账户，尽管泄漏可能会让潜在的SIM卡交换者更容易向社会工程师a Q Link Wireless员工移植号码到新手机上。

没有任何迹象表明这个泄漏是被积极利用的。安全公司Intel471的研究人员在犯罪论坛上没有发现有关可用数据的讨论，但没有办法知道这些数据是否被小规模滥用，比如被Q Link无线用户认识的人或与之互动过的人。

随着手机用户寻求低成本、无附加服务的移动服务，Q Link的用户可能是最负担不起数据泄露服务和其他隐私服务的人群之一。该运营商尚未将数据泄露的情况通知客户。使用这项服务的人应该考虑，该应用程序显示的任何数据都可以向任何拥有自己电话号码的人提供。