Крупный австралийский провайдер допустил утечку пользовательских данных

Николай Головко 10 Декабря 2011 - 09:01

...

Поставщик Интернет-услуг Telstra, работающий на территории Австралии, был вынужден закрыть доступ к службам сайта технического обслуживания клиентов после того, как сначала на форумах в Сети, а затем и в местной прессе появились сообщения об изъянах в защите пользовательских данных.

Издание Sydney Morning Herald поясняет, что история началась с обычного поискового запроса. Один из абонентов Telstra проводил поиск в Google, чтобы узнать нужный ему телефонный номер службы технической поддержки, и в результате наткнулся на онлайн-инструмент для служебного пользования под названием Telstra Bundles request search. Соответствующая страница не была защищена вообще никакими средствами контроля доступа, так что работать с инструментом мог кто угодно. Изучив его, пользователь понял, что сервис готов выложить ему любые сведения о клиентах, какие только есть в его базе данных - знай себе ищи.

Абонент написал о своем "открытии" на местном форуме Whirlpool, откуда о происшествии и узнали журналисты. Известно, что поиск в вышеупомянутом инструменте можно было проводить по ряду признаков (например, по фамилии клиента или номеру его личного счета), в результате чего выдавались подробные сведения не только о текущем тарифном плане или о телефонном номере пользователя, но и физические адреса, сведения о посещениях технических специалистов, содержание коротких текстовых сообщений, которые направлялись на мобильные номера клиентов, а также логин-парольные комбинации.

Фактически единственным контуром защиты, которым был обеспечен инструмент, являлась грозная надпись под логотипом провайдера: "Информация, вводимая в эту веб-форму или извлекаемая из нее, представляет собой конфиденциальные данные о клиентах и не должна использоваться ни для каких других целей, кроме как для просмотра состояния заказов". По-видимому, специалисты по обеспечению безопасности понадеялись на уникальные секретные URL-адреса, которые по инерции до сих пор считаются надежным способом сохранения конфиденциальности важных сведений.

Представители Telstra пообещали провести расследование инцидента и наказать виновных. В настоящее время часть интерактивных служб сайта технического обслуживания клиентов провайдера временно приостановлена. Потенциально жертвами инцидента могли стать сотни тысяч человек: за один лишь прошедший год предложения австралийского поставщика услуг Интернета привлекли более 650 тыс. клиентов.

Ситуацию комментирует главный аналитик InfoWatch Николай Федотов: «К счастью, утекшие данные не пригодны для мошенничества или иного превращения в деньги. Тем не менее, убытки у оператора ожидаются большие. Они проистекут из необходимости загладить вину перед клиентами, высоко ценящими приватность, из судебных издержек и взысканий, наложенных государственными органами. Всех этих убытков можно было бы избежать, если б оператор быстро и щедро договорился с первым человеком, который обнаружил утечку. Или обнаружил бы её сам в ходе регулярного аудита. Или имел бы DLP-систему, которая попросту предотвращает такие инциденты».

Письмо автору

Следующая главная новость »

Российские системы виртуализации — подробнее в эфире AM Live. Регистрируйтесь! »

Екатерина Быстрова 30 Января 2026 - 08:58

Android Трояны Домашние пользователи

Android-троян маскируется под антивирус и идёт через Hugging Face

Исследователи из Bitdefender обнаружили новую вредоносную кампанию, нацеленную на пользователей Android: злоумышленники внезапно задействовали платформу Hugging Face — популярный и в целом доверенный хаб для ИИ-моделей и датасетов. Сценарий атаки начинается с установки приложения-дроппера под названием TrustBastion.

Его распространяют через пугающую рекламу в стиле scareware: пользователю сообщают, что смартфон якобы заражён и срочно нуждается в защите.

Само приложение маскируется под «антивирус» и обещает бороться с мошенничеством, фишингом, опасными СМС и зловредами.

Сразу после установки TrustBastion показывает обязательное «обновление», оформленное под страницу Google Play. На самом деле никакого обновления из магазина нет: приложение обращается к серверу злоумышленников, а тот перенаправляет запрос на репозиторий Hugging Face, где хранится вредоносный APK. Загрузка идёт через CDN платформы, что снижает подозрения со стороны защитных механизмов.

По данным Bitdefender, атакующие используют серверный полиморфизм: каждые 15 минут генерируется новая версия вредоносного APK. За месяц в репозитории накопилось более 6 тысяч коммитов. После удаления набора данных кампания быстро «переродилась» под новым названием — Premium Club, с другими иконками, но тем же кодом.

Основная нагрузка — безымянный троян для удалённого доступа, который активно задействует службы специальных возможностей Android (Accessibility Services). Разрешение запрашивается под предлогом «защиты устройства», но на деле даёт полный контроль: наложение экранов, перехват действий пользователя, снятие скриншотов, блокировку удаления приложения и постоянную связь с управляющим сервером.

Зловред следит за активностью пользователя, отправляет данные операторам и подсовывает фальшивые экраны входа для финансовых сервисов — в том числе Alipay и WeChat. Также он пытается выманить ПИН-код от экрана блокировки. Всё украденное в реальном времени уходит на командный сервер, откуда вредонос получает новые задачи и «контент», поддерживающий иллюзию легитимного приложения.

Bitdefender уведомила Hugging Face, и вредоносные датасеты были удалены. Исследователи также опубликовали индикаторы компрометации, связанные с дроппером, сетевой инфраструктурой и APK-файлами:

C2: