image

Klantenbestand Virgin Mobile wagenwijd open

dinsdag 3 februari 2009, 12:18 door Redactie, 4 reacties

Door een slordige fout in de website van telecomaanbieder Virgin Mobile was het kinderlijk eenvoudig om van alle klanten de abonnementen in te zien en te wijzigen, hun beltegoed op te maken en andere ongewenste zaken uit te voeren. Onderzoeker Thomas Milne ontdekte het lek dat alleen maar het invoeren van een telefoonnummer vereiste om te misbruiken. Het was een SMS van Virgin zelf die hem in de juiste richting stuurde. Daarin stond een link naar een website. Bezocht hij de link vanaf zijn PC, dan kreeg hij een foutmelding dat de "phone identification" ontbrak.

Door het aanpassen van de URL belandde hij op een pagina met een invoerveld om telefoonnummers in te voeren, waardoor hij toegang tot het account van de betreffende eigenaar kreeg. Milne was onaangenaam verrast door de slordigheid, ook omdat de pagina met het invoerveld waarschijnlijk alleen voor testdoeleinden gebruikt werd, en nooit in een URL naar de klant gestuurd had mogen worden. Na te zijn ingelicht wist Virgin het lek binnen een aantal uren te verhelpen.

Reacties (4)
03-02-2009, 12:49 door Anoniem
Over test pagina's gesproken.

Credit card maatschappijen hebben een test credit card nummer om online betalingen te testen, het systeem reageert dan dat de betaling is gelukt, maar er wordt niks daadwerkelijks afgeschreven bij niemand.

# 4444 4444 4444 4444

Bij het maken van een online betalingssysteem, werd mij geeneens verteld dat dit nummer permanent is, pas bij navraag. Ik kwam erachter door te vragen hoe we transacties konden testen indien het systeem live ging. Aan onze 'zijde' moesten we zelf dit nummer filteren.
03-02-2009, 12:52 door ThePope
daarom, nooit je testomgeving compleet uploaden..
03-02-2009, 13:44 door Eerde
Gegevens lekken of het nu softwarematig of mensmatig is zal blijven.
03-02-2009, 14:04 door Anoniem
Door EerdeGegevens lekken of het nu softwarematig of mensmatig is zal blijven.
Onwetendheid en fouten maken hoort bij mensen en generaties aan bedrijven en werknemers. Maar dat wil niet zeggen dat er geen verbetering in het aantal en soort lekken zal optreden en je bepaalde vormen zelfs niet hoeft te accepteren als een ongelukkige samenloop van omstandigheden. Een groot bedrijf als Virgin Mobile had beter moeten weten, beter moeten zorgen voor een controle op veiligheid. Voor zichzelf en zeker voor hun klanten, waarvoor ze verantwoordelijkheid hebben over ontsluiting van vele honderdduizenden klantgegevens. Dat noem ik zware nalatigheid.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.