Крупнейший в Австралии телекоммуникационный провайдер Telstra объявил причину недавней утечки клиентских данных. Проблема заключалась в уязвимости поиска на корпоративном сайте, открывавшей доступ к персональной информации.

Брешь обнаружил пользователь системы My Telstra Tools, 63-летний Роберт Ирвин (Robert Irvine). Ошибка была в сервисе для корпоративных клиентов провайдера, который позволяет управлять счетом и набором услуг.

Ирвин обратился к справке My Telstra Tools, чтобы решить проблемы с электронной почтой. В ответ на его запрос «email» система выдала базу данных с более чем 66 тыс. строк. В ней были имена, адреса, телефонные номера и прочие персональные данные клиентов, вплоть до мест их работы.

По словам Ирвина, произошедшее шокировало его, особенно после того, как он убедился в достоверности данных. Клиент сообщил об утечке журналистам австралийского новостного сайта 9News, которые и сделали историю публичной.

В своем заявлении об инциденте руководитель Telstra по продажам и сервису Майкл Экланд (Michael Ackland) сообщил, что компания сразу отключила уязвимую систему до определения причин проблемы. Как позже выяснили IT-специалисты провайдера, в открытый доступ попал список рассылки о грядущих профилактических работах.

Всего брешь обнаружили три пользователя, которые просмотрели 18 карточек с персональными данными. Экланд заверил клиентов, что компания связалась с каждой жертвой и принесла извинения за инцидент.

За последний месяц это уже вторая утечка персональных данных у крупного телекоммуникационного провайдера. Ранее об уязвимости базы с клиентскими данными сообщила испанская Telefonica. Из-за неверных настроек биллинговой онлайн-системы провайдеру грозит штраф в размере до 20 млн евро.

Схожая проблема возникла у дочерней структуры Symantec, компании LifeLock. В конце июля независимый ИБ-специалист написал скрипт, способный автоматически собирать электронные адреса ее клиентов. По мнению эксперта, эта информация может упростить фишинговые атаки.

В российском сегменте Интернете последняя крупная утечка связана с уязвимостью сайта Роспотребнадзора. Пользователь Habrahabr смог с помощью SQL-инъекции собрать 7 Гбайт данных о гражданах с высшим образованием и тысячах учебных заведений.

В мае аналитики «Лаборатории Касперского» подсчитали, что каждая утечка данных обходится крупному бизнесу более чем в $1 миллион. Малые и средние предприятия в среднем терпят ущерб в $120 тысяч. Затраты складываются из технических мер безопасности, устранения последствий для репутации, инвестиций в обучение сотрудников и найма новых специалистов.

Категории: Уязвимости