Operador Q Link Wireless expôs dados dos clientes sem usar passwords

O operador virtual de telecomunicações Q Link Wireless decidiu facilitar a vida dos clientes, dispensando por completo as passwords - e com isso expondo os seus dados ao mundo.

Recentemente tivemos o leak dos 533 milhões de telefones de utilizadores do Facebook, que abusou do sistema que o Facebook tinha, que permitia descobrir os amigos pelos números de telefone. E agora temos um operador - Q Link Wireless - que teve a infeliz ideia de fazer algo idêntico, mas sem necessidade de "amigos"; bastando introduzir um número de telefone para se ter acesso aos dados do cliente, incluindo email, morada, histórico de chamadas, histórico de SMS, e últimos quatro dígitos do cartão de crédito.

O mais surpreendente é que pelo menos uma pessoa já os tinha contactado o ano passado, por diversas vezes, para alertar desta grave falha de segurança - e havendo até comentários deixados na app - sem que a coisa tenha sido corrigida.

Infelizmente, não faltam casos de lojas e outras entidades que, com a desculpa de "facilitar a vida" aos clientes, não seguem as medidas de segurança recomendadas. Refiro-me a todas as que assumem que o email do cliente é correcto sem sequer o validarem; ou que enviam a password pelo mail.

Neste caso, abdicar da password até seria potencialmente uma boa ideia, se o sistema enviasse um link codificado para um login único via email ou através de notificação da app. No entanto, simplesmente abidcar das passwords e deixar que esses dados ficassem expostos ao mundo, é de uma completa irresponsabilidade, e de total desrespeito pela privacidade dos clientes. Se fosse deste lado do Atântico, bem que seria uma excelente oportunidade para uma multa exemplar por conta do RGPD / GDPR.