Een Australische beveiligingsonderzoeker die een gapend gat in de website van pensioenfonds First State Superannuation ontdekte, heeft bezoek van de politie gekregen. Patrick Webster ontdekte een direct object reference-lek. Door het wijzigen van een getal in de URL, is het daardoor mogelijk vertrouwelijke gegevens van andere gebruikers te zien. In het geval van First State ging het om pensioenoverzichten van anderen.

Webster waarschuwde het pensioenfonds en stuurde de IT-afdeling zelfs een script om het probleem te demonstreren. In eerste instantie reageerde de organisatie, die twee miljoen leden heeft, positief en werd de onderzoeker bedankt voor zijn e-mails en waarschuwing. Afgelopen nacht verschenen echter twee agenten voor de deur van Webster, die lieten weten dat hij gezocht werd. De onderzoeker zou namelijk bestanden van First State hebben gedownload. De politieagenten merkte op dat ze het niet begrepen waar het over ging, aangezien ze alleen lokale politie waren.

"Het vervelende is, dat ik First State meteen waarschuwde. Ik gaf ze mijn telefoonnummer, e-mail, waaronder LinkedIn, en zij bellen vervolgens de politie", aldus Webster. Inmiddels heeft het pensioenfonds het account van Webster afgesloten. Het lek is ondertussen opgelost en de leden van wie Webster de informatie had opgevraagd zijn gewaarschuwd.