Major Australian provider leaked user data
Telstra, an Internet service provider based in Australia, was forced to block access to the services of a customer service site after first reporting on flaws in the protection of user data on forums on the Web and then in the local press.
Sydney Morning Herald explains that the story began with a regular search query. One of Telstra's subscribers searched Google to find out the technical support phone number he needed, and as a result, he came across an online office tool called Telstra Bundles request search. The corresponding page was not protected at all by any means of access control, so anyone could work with the tool. Having studied it, the user realized that the service is ready to lay out to him any customer information that is available in his database - know what you are looking for.
The subscriber wrote about his "discovery" in the local Whirlpool forum, from where journalists learned about the incident. It is known that a search in the aforementioned tool could be carried out according to a number of signs (for example, by the name of the client or his personal account number), as a result of which detailed information was provided not only about the current tariff plan or about the user's phone number, but also physical addresses, information about visits to technical specialists, the content of short text messages that were sent to customers' mobile numbers, as well as login and password combinations.
In fact, the only protection circuit that the tool was provided with was a formidable inscription under the provider's logo: “The information entered into this web form or extracted from it represents confidential customer data and should not be used for any other purpose than for viewing order status. " Security professionals seem to have relied on unique, secret URLs, which by inertia are still considered a reliable way to keep sensitive information confidential.
Representatives of Telstra promised to investigate the incident and punish those responsible. Currently, part of the online services of the provider's customer service site is temporarily suspended. Hundreds of thousands of people could potentially be victims of the incident: over the past year alone, the offer of an Australian Internet service provider has attracted more than 650 thousand customers.
American Historical Society Of Germans From Russia
Telstra, an Internet service provider based in Australia, was forced to block access to the services of a customer service site after first reporting on flaws in the protection of user data on forums on the Web and then in the local press.
Sydney Morning Herald explains that the story began with a regular search query. One of Telstra's subscribers searched Google to find out the technical support phone number he needed, and as a result, he came across an online office tool called Telstra Bundles request search. The corresponding page was not protected at all by any means of access control, so anyone could work with the tool. Having studied it, the user realized that the service is ready to lay out to him any customer information that is available in his database - know what you are looking for.
The subscriber wrote about his "discovery" in the local Whirlpool forum, from where journalists learned about the incident. It is known that a search in the aforementioned tool could be carried out according to a number of signs (for example, by the name of the client or his personal account number), as a result of which detailed information was provided not only about the current tariff plan or about the user's phone number, but also physical addresses, information about visits to technical specialists, the content of short text messages that were sent to customers' mobile numbers, as well as login and password combinations.
In fact, the only protection circuit that the tool was provided with was a formidable inscription under the provider's logo: “The information entered into this web form or extracted from it represents confidential customer data and should not be used for any other purpose than for viewing order status. " Security professionals seem to have relied on unique, secret URLs, which by inertia are still considered a reliable way to keep sensitive information confidential.
Representatives of Telstra promised to investigate the incident and punish those responsible. Currently, part of the online services of the provider's customer service site is temporarily suspended. Hundreds of thousands of people could potentially be victims of the incident: over the past year alone, the offer of an Australian Internet service provider has attracted more than 650 thousand customers.
American Historical Society Of Germans From Russia
Original message
Крупный австралийский провайдер допустил утечку пользовательских данных
Поставщик Интернет-услуг Telstra, работающий на территории Австралии, был вынужден закрыть доступ к службам сайта технического обслуживания клиентов после того, как сначала на форумах в Сети, а затем и в местной прессе появились сообщения об изъянах в защите пользовательских данных.
Издание Sydney Morning Herald поясняет, что история началась с обычного поискового запроса. Один из абонентов Telstra проводил поиск в Google, чтобы узнать нужный ему телефонный номер службы технической поддержки, и в результате наткнулся на онлайн-инструмент для служебного пользования под названием Telstra Bundles request search. Соответствующая страница не была защищена вообще никакими средствами контроля доступа, так что работать с инструментом мог кто угодно. Изучив его, пользователь понял, что сервис готов выложить ему любые сведения о клиентах, какие только есть в его базе данных - знай себе ищи.
Абонент написал о своем "открытии" на местном форуме Whirlpool, откуда о происшествии и узнали журналисты. Известно, что поиск в вышеупомянутом инструменте можно было проводить по ряду признаков (например, по фамилии клиента или номеру его личного счета), в результате чего выдавались подробные сведения не только о текущем тарифном плане или о телефонном номере пользователя, но и физические адреса, сведения о посещениях технических специалистов, содержание коротких текстовых сообщений, которые направлялись на мобильные номера клиентов, а также логин-парольные комбинации.
Фактически единственным контуром защиты, которым был обеспечен инструмент, являлась грозная надпись под логотипом провайдера: "Информация, вводимая в эту веб-форму или извлекаемая из нее, представляет собой конфиденциальные данные о клиентах и не должна использоваться ни для каких других целей, кроме как для просмотра состояния заказов". По-видимому, специалисты по обеспечению безопасности понадеялись на уникальные секретные URL-адреса, которые по инерции до сих пор считаются надежным способом сохранения конфиденциальности важных сведений.
Представители Telstra пообещали провести расследование инцидента и наказать виновных. В настоящее время часть интерактивных служб сайта технического обслуживания клиентов провайдера временно приостановлена. Потенциально жертвами инцидента могли стать сотни тысяч человек: за один лишь прошедший год предложения австралийского поставщика услуг Интернета привлекли более 650 тыс. клиентов.
American Historical Society Of Germans From Russia
Поставщик Интернет-услуг Telstra, работающий на территории Австралии, был вынужден закрыть доступ к службам сайта технического обслуживания клиентов после того, как сначала на форумах в Сети, а затем и в местной прессе появились сообщения об изъянах в защите пользовательских данных.
Издание Sydney Morning Herald поясняет, что история началась с обычного поискового запроса. Один из абонентов Telstra проводил поиск в Google, чтобы узнать нужный ему телефонный номер службы технической поддержки, и в результате наткнулся на онлайн-инструмент для служебного пользования под названием Telstra Bundles request search. Соответствующая страница не была защищена вообще никакими средствами контроля доступа, так что работать с инструментом мог кто угодно. Изучив его, пользователь понял, что сервис готов выложить ему любые сведения о клиентах, какие только есть в его базе данных - знай себе ищи.
Абонент написал о своем "открытии" на местном форуме Whirlpool, откуда о происшествии и узнали журналисты. Известно, что поиск в вышеупомянутом инструменте можно было проводить по ряду признаков (например, по фамилии клиента или номеру его личного счета), в результате чего выдавались подробные сведения не только о текущем тарифном плане или о телефонном номере пользователя, но и физические адреса, сведения о посещениях технических специалистов, содержание коротких текстовых сообщений, которые направлялись на мобильные номера клиентов, а также логин-парольные комбинации.
Фактически единственным контуром защиты, которым был обеспечен инструмент, являлась грозная надпись под логотипом провайдера: "Информация, вводимая в эту веб-форму или извлекаемая из нее, представляет собой конфиденциальные данные о клиентах и не должна использоваться ни для каких других целей, кроме как для просмотра состояния заказов". По-видимому, специалисты по обеспечению безопасности понадеялись на уникальные секретные URL-адреса, которые по инерции до сих пор считаются надежным способом сохранения конфиденциальности важных сведений.
Представители Telstra пообещали провести расследование инцидента и наказать виновных. В настоящее время часть интерактивных служб сайта технического обслуживания клиентов провайдера временно приостановлена. Потенциально жертвами инцидента могли стать сотни тысяч человек: за один лишь прошедший год предложения австралийского поставщика услуг Интернета привлекли более 650 тыс. клиентов.
American Historical Society Of Germans From Russia
