Optus如何查看可能被泄露信息

idlepoison

如果你和我一样不幸是900万分之一，可以用这个方法查看optus泄露出去的是什么内容。。。

转载自 洗衣机论坛

https://whirlpool.net.au/wiki/optus_sept_2022_breach


首先登陆 optus账号

然后打开以下连接
https://www.optus.com.au/mcssapi ... on/user/information

会出现好几行信息
里面包含名字，邮件，电话 等等
第一行中间有个"contactId":"xxxxxxxx"

删掉下面这个连接红色部分，插入id号码

https://www.optus.com.au/mcssapi/rp-webapp-9-common/customer-management/contact-person/{contactId}?lo=en_US&sc=SS

可以看到地址，驾照，电话等等等等

如果你信息被黑了，那么这些都是黑客拿走的信息

反正我打算去哭一会，我什么信息都对，还挺全


------------------原文----------


What Optus account could have been exposed? Can I find out if I used my drivers license or passport?
You can check the Optus customer API yourself after logging in at https://www.optus.com.au first.

You can only access data for the logged in user, and can't view the data of other customers.
This is not the presumed link the hacker used to collect customer data, which allegedly did not require any authentication.

View Account details (including any identification details, like drivers license or passport):

https://www.optus.com.au/mcssapi ... on/user/information
View Customer Address details (including any identification details, like drivers license or passport):

https://www.optus.com.au/mcssapi ... ent/contact-person/{contactId}?lo=en_US&sc=SS
In the second URL you will need to replace {contactId} with with that found in the first link (number only, without the curly brackets).

Q: How do I convert the long random numbers in the date fields – date of birth, expiry dates – to a normal date?
A: They are epoch timestamps. Paste the number in https://www.epochconverter.com/ which will convert it to a normal date.

lisam

但是我几年前就转走了啊，而且是virgin，为啥收到email说历史客户也丢了？

petter

有Prepaid号码，信息里面没有驾照

idlepoison

lisam 发表于 2022-9-25 20:55
但是我几年前就转走了啊，而且是virgin，为啥收到email说历史客户也丢了？

法律规定保留7年
但是optus这垃圾公司有没有把过期的删掉就不知道了….

idlepoison

petter 发表于 2022-9-25 21:01
有Prepaid号码，信息里面没有驾照

那恭喜了 很安全

righttang

那种用Optus网络的小公司没事吧？类似Amaysim之类的？

idlepoison

righttang 发表于 2022-9-25 21:10
那种用Optus网络的小公司没事吧？类似Amaysim之类的？

amaysim 据optus说没事
但是信不信他们的鬼话和技术是另一回事
黑客自己说是有1100万条数据…

espresso76

这个直接返回明文的URL调用， IT 的应用安全部门可以直接开了。

idlepoison

espresso76 发表于 2022-9-25 21:47
这个直接返回明文的URL调用， IT 的应用安全部门可以直接开了。

据说黑客拖库的时候都不用登陆
直接api.Optus.com.au 后面随机加id直接全部带走
这废物公司简直了
赶紧倒闭
带着吉拉德一起滚

angel8791

我的Optus 账号是N年以前的事了，现在根本登陆不上去啊？

lindalili

登陆了5年前用过的optus账号，名字生日地址电话都有，没有驾照信息，唉，真是太闹心了

hlg0606

啥也没查出来。
看来老用户，也很可能是安全的。
没想到optus客户还是挺多

小泡泡鱼

我上周刚转了Optus……

ken1huang

lisam 发表于 2022-9-25 19:55
但是我几年前就转走了啊，而且是virgin，为啥收到email说历史客户也丢了？

我大概是7年前的客户，也收到提醒邮件了

aboutime

……

espresso76

感觉有内鬼的   

whzopecc

"contactId":"xxxxxxxx"替换的时候要保留引号吗，还是只写两个引号中间的数字？

lindalili

whzopecc 发表于 2022-9-25 22:06
"contactId":"xxxxxxxx"替换的时候要保留引号吗，还是只写两个引号中间的数字？

只是中间数字

yx888

完了。。信息全对。。。

onlyoung

感觉是prepaid的没有驾照号码泄漏

重机枪手

有没有安全专家来分析下如果用户信息被盗最坏会有什么情况发生

企鹅男孩

900多万，一半澳洲成年人的信息都泄露了

idlepoison

重机枪手 发表于 2022-9-25 23:28
有没有安全专家来分析下如果用户信息被盗最坏会有什么情况发生

用你身份开信用卡 贷款 开皮包公司 开银行账户洗钱
用你的身份给黑户或者恐怖分子干坏事
用生日和住址驾照护照等信息打电话给银行重置你的密码
还有的网站邮箱没有挂二次验证的话通过回答问题直接黑进邮箱等等等等
这黑客只要100万美金看来也是新手没有意识到这信息多值钱
当然也可能是optus完全没防御直接白给弄的他不太好意思要高价

lindalili

要怎么补救呢？是不是把所有验证换到其他公司的手机号能安全一些

Ericlynlyn

这bug到现在还没完全fix 真是无语

重机枪手

idlepoison 发表于 2022-9-25 22:53
用你身份开信用卡 贷款 开皮包公司 开银行账户洗钱
用你的身份给黑户或者恐怖分子干坏事
用生日和住址驾 ...

作为客户能做什么 地址和生日都改不了啊

Rumpelstiltskin

idlepoison 发表于 2022-9-25 20:55
据说黑客拖库的时候都不用登陆
直接api.Optus.com.au 后面随机加id直接全部带走
这废物公司简直了

吉拉德？你是想说新州巫婆？

calumcleaning

idlepoison 发表于 2022-9-25 22:53
用你身份开信用卡 贷款 开皮包公司 开银行账户洗钱
用你的身份给黑户或者恐怖分子干坏事
用生日和住址驾 ...

你说的这些项里面，有哪些项是需要手机code的？是不是需要手机code的项还算安全？

calumcleaning

lindalili 发表于 2022-9-25 21:20
登陆了5年前用过的optus账号，名字生日地址电话都有，没有驾照信息，唉，真是太闹心了 ...

银行应该取消电话操作，重大事项，只能本人柜台凭身份证件办理

lindalili

calumcleaning 发表于 2022-9-26 08:18
银行应该取消电话操作，重大事项，只能本人柜台凭身份证件办理

就怕小额一笔一笔转走也很讨厌，而且不知道什么时候会发生，每天都要盯着账号累啊