De Australische bank Westpac heeft van bijna 100.000 klanten persoonlijke gegevens gelekt nadat aanvallers een aanval op het PayID-betaalplatform van de bank uitvoerden. Via PayID kunnen klanten alleen door het opgeven van een telefoonnummer of e-mailadres geld overmaken.

Het betaalplatform fungeert ook als een soort van telefoonboek. Zodra klanten een e-mailadres of telefoonnummer invoeren wordt de naam van de bijbehorende rekeninghouder weergegeven. Westpac laat in een bericht aan andere Australische banken weten dat aanvallers van deze functionaliteit misbruik hebben gemaakt. Op 22 mei ontdekte de bank dat aanvallers via PayID in totaal zo'n 600.000 lookups hadden uitgevoerd.

Om deze lookups uit te voeren maakten de aanvallers gebruik van zeven gecompromitteerde Westpac-accounts. Bij ongeveer 98.000 lookups kregen de aanvallers de naam van de rekeninghouder te zien. Verder onderzoek toonde aan dat de aanvallen tegen het betaalplatform al sinds 7 april dit jaar plaatsvonden. De aanvallers probeerden daarbij allerlei telefoonnummers in een semi-opeenvolgende manier.

Volgens Westpac lijkt het erop dat de aanvallers de telefoonnummers raden en geen gebruikmaken van informatie die bij andere datalekken afkomstig is. De bank laat in een verklaring tegenover de Sydney Morning Herald weten dat het na ontdekking van de enumeratie-aanval aanvullende preventieve maatregelen heeft genomen. Wat die maatregelen inhouden is niet bekendgemaakt.