Q Link Wireless a mis les données à la disposition de toute personne connaissant le numéro de téléphone d’un client.
Q Link Wireless, fournisseur de services de téléphonie mobile et de transmission de données à bas prix à 2 millions de clients basés aux États-Unis, a mis des données de compte sensibles à la disposition de toute personne connaissant un numéro de téléphone valide sur le réseau de l’opérateur, selon une analyse de l’application de gestion de compte de la société.
Q Link Wireless, dont le siège est à Dania, en Floride, est ce que l’on appelle un opérateur de réseau mobile virtuel, ce qui signifie qu’il n’exploite pas son propre réseau sans fil, mais achète des services en gros à d’autres opérateurs et les revend.
Elle fournit des téléphones et des services subventionnés par le gouvernement aux consommateurs à faible revenu dans le cadre du programme Lifeline de la FCC.
Elle propose également une gamme de plans de services à bas prix à travers sa marque Hello Mobile. En 2019, Q Link Wireless a déclaré avoir 2 millions de clients.
Le transporteur propose une application appelée My Mobile Account (pour iOS et Android) que les clients peuvent utiliser pour surveiller l’historique des textes et des minutes, l’utilisation des données et des minutes, ou pour acheter des minutes ou des données supplémentaires.
L’application affiche également les données suivantes du client :
- le nom et le prénom
- l’adresse du domicile
- l’historique des appels téléphoniques (de/vers)
- l’historique des messages texte (de/vers)
- le numéro de compte de l’opérateur téléphonique nécessaire pour le portage
- Adresse électronique
- Les quatre derniers chiffres de la carte de paiement associée
Pas de mot de passe requis… quoi ?
Depuis au moins décembre, et peut-être bien avant, Mon compte mobile affiche ces informations pour chaque compte client lorsqu’il est présenté avec un numéro de téléphone Q Link Wireless valide. C’est exact – aucun mot de passe ou autre chose n’est requis.
Lorsque j’ai vu pour la première fois un fil de discussion Reddit sur l’application, j’ai pensé qu’il y avait une erreur. J’ai donc installé l’application, obtenu l’autorisation d’un autre lecteur du fil de discussion et entré son numéro de téléphone.
J’ai immédiatement vu ses informations personnelles, comme le montrent les images censurées ci-dessus.
La personne qui a lancé le fil de discussion sur Reddit a déclaré dans un courriel qu’elle avait signalé cette insécurité flagrante à Q Link Wireless l’année dernière.
Les courriels qu’il a fournis montrent qu’il a informé le service d’assistance à deux reprises cette année, une première fois en février et une seconde fois ce mois-ci.
Les commentaires laissés dans les commentaires sur les offres iOS et Android ont également signalé ce problème, dans plusieurs cas avec une réponse d’un représentant de Q Link Wireless remerciant la personne pour son commentaire.
Négligence flagrante
L’exposition des données est grave car les numéros de téléphone sont si faciles à obtenir. Nous les donnons à des employeurs potentiels, à des mécaniciens automobiles et à d’autres inconnus.
Et bien sûr, les numéros de téléphone sont facilement obtenus par les détectives privés, les conjoints violents, les harceleurs et autres personnes qui s’intéressent à une personne en particulier.
Le fait que Q Link Wireless mette les données de ses clients à la disposition de toute personne connaissant le numéro de téléphone d’un client est un acte de pure négligence.
J’ai commencé à envoyer des courriels à l’opérateur au sujet de l’insécurité mercredi et j’ai poursuivi avec une douzaine d’autres messages. Le PDG et fondateur de Q Link Wireless, Issa Asad, n’a pas répondu alors que je lui faisais remarquer que chaque heure où il laissait l’exposition des données se poursuivre aggravait le risque pour ses clients.
Puis, jeudi en fin de journée, My Mobile Account a cessé de se connecter aux comptes des clients. Lorsqu’on lui présente le numéro d’un client de Q Link Wireless, l’application répond par un message disant : « Le numéro de téléphone ne correspond à aucun compte ».
Les versions iOS et Android de l’application ont été mises à jour pour la dernière fois en février, ce qui laisse penser que le problème résulte d’une modification apportée par Q Link Wireless à un serveur.
Si l’application My Mobile Account affichait les informations personnelles des clients, elle ne permettait pas de modifier ces données. L’application n’affichait pas non plus les mots de passe.
Cela signifie qu’une personne ne pourrait pas exploiter cette fuite pour effectuer un échange de carte SIM ou verrouiller les utilisateurs de leurs comptes, bien que l’exposition puisse faciliter la tâche d’un futur échangeur de carte SIM pour inciter un employé de Q Link Wireless à porter un numéro sur un nouveau téléphone.
Rien n’indique, dans un sens ou dans l’autre, que cette fuite ait été activement exploitée.
Les chercheurs de la société de sécurité Intel471 n’ont trouvé aucune discussion sur les forums criminels concernant les données disponibles, mais il n’y a aucun moyen de savoir si elles ont été exploitées à plus petite échelle, par exemple par quelqu’un qu’un client de Q Link Wireless connaît ou avec qui il a eu des contacts.
En tant qu’utilisateurs de téléphones à la recherche d’un service mobile à bas prix et sans fioritures, les clients de Q Link font partie d’une population qui est peut-être la moins à même de s’offrir des services de protection des données et autres services de protection de la vie privée. L’opérateur n’a pas encore informé ses clients de l’exposition des données.
Les personnes utilisant ce service doivent considérer que toutes les données affichées par l’application sont accessibles à toute personne possédant leur numéro de téléphone.