Een 16-jarige Australische tiener die een serieuze kwetsbaarheid in de database van een openbaar vervoerorganisatie heeft gemeld, wordt nu behandeld als verdachte.
SQL injection kwetsbaarheid
Joshua Rogers uit Melbourne vond een ‘SQL injection’ kwetsbaarheid in een database van de “Public Transport Victoria (PTV)”. Deze organisatie is verantwoordelijk voor het vervoerssysteem in de Australische staat. Met de kwetsbaarheid konden aanvallers toegang krijgen tot vertrouwelijke gegevens van 600.000 klanten. De gegevens bevatten onder andere adressen, email-adressen, wachtwoorden, geboortedata, telefoonnummers en gedeeltelijke creditcard nummers.
Gedeeltelijke creditcard nummers
De tiener downloadde enkele records uit de database als onderdeel van zijn onderzoek, om deze vervolgens te wissen. Alhoewel de creditcard gegevens niet volledig waren, bleken er slechts drie cijfers te ontbreken.
Aangifte bij de politie in plaats van overleg
Rogers stuurde op 26 december een email naar PTV waarin hij het lek meldde. Hierin beschreef hij zichzelf als een White Hat hacker, ofwel een beveiligingsonderzoeker met goede intenties. Zelfs na het versturen van emails aan 13 medewerkers van PTV kreeg hij geen reactie op zijn melding. Hierop besloot Rogers contact op te nemen met FairFax, de uitgever van de krant “The Age” in Melbourne.
Direct hierna bleek PTV het lek te hebben gemeld aan de privacywaakhond en bij de politie. Volgens Rogers heeft de politie nog geen contact met hem gezocht. De tiener zegt niet verrast te zijn over de aangifte. Hij hield er al rekening mee dat PTV de aandacht van de gemaakte beveiligingsblunders zou willen afleiden door achter hem aan te gaan.