Paay udsatte millioner af kreditkorttransaktioner. Hvad skal brugere gøre?

Onlinetjenesteudbydere kan simpelthen ikke følge med de store mængder data, de har brug for at behandle. Konfigurationsfejl er alt for almindelige, og de fører til eksponering af information dagligt. Sikkerhedsforskere bruger den større del af deres dage på at se efter åbne databaser, der indeholder personlige data, og nogle af deres opdagelser er langt mere foruroligende end andre. For eksempel, da Anurag Sen, en sikkerhedsekspert, fandt omkring 2,5 millioner poster, der var vært på en server, der var tilgængelig overalt i verden og ikke var beskyttet af et kodeord, vidste han, at der straks skal tages skridt til at sikre dataene.

Databasen tilhørte Paay, en betalingsprocessor, og bag de 2,5 millioner poster var der 2,5 millioner kreditkorttransaktioner. Sen kom i kontakt med TechCrunchs Zack Whittaker, som bekræftede datakilden og sagde, at lækagen udsatte almindelige kreditkortnumre, udløbsdatoer og det anvendte beløb under hver transaktion.

Endnu et online firma konfigurerer sin database forkert og lækker information

Whittaker kom i kontakt med Paay, underrettede dem om overtrædelsen og spurgte, hvad der var sket nøjagtigt. Yitz Mendlowitz, en af betalingsprocessorens medstiftere, fortalte Whittaker, at Paays IT-team satte serveren den 3. april, da de var midt i at afskrive en af de tjenester, platformen tilbyder. På grund af "en fejl" blev oplysninger om transaktioner, der dateres tilbage til 1. september 2019, uden et kodeord. Kort efter, at den fik underretningen, sikrede Paay dataene, men på det tidspunkt, da det fik kendskab til det, havde de allerede været online i tæt på tre uger, hvilket er en frygtelig lang tid i denne dag og alder.

Det må ikke være nogen trøst at Paay langt fra er den eneste tjenesteudbyder, der har lækket data på grund af en konfigurationsfejl. Faktisk kunne du hævde, at i stedet for at organisere sofistikerede angreb på specifikke mål, er de cyberkriminelle, der ønsker at få fat på nogle følsomme oplysninger, meget bedre til at skyde en af de specialiserede søgemaskiner, der kan identificere dårligt konfigurerede databaser. Men hvilken slags skader kunne de have gjort med de oplysninger, som Paay lækker?

Omfanget af de lækkede data var begrænset

Først forsøgte Paay at nægte tilstedeværelsen af fulde, almindelige kreditkortnumre i den lækkede database. Yitz Mendlowitz sagde oprindeligt, at platformen ikke gemmer kortnumre, fordi den "ikke har nogen brug for dem." Da Zack Whittaker fremlagde beviser for, at kortnumrene faktisk var lækket, undlod Mendlowitz imidlertid ikke at svare.

Tilstedeværelsen af fulde kortnumre er bestemt bekymrende, men faktum er, at detaljer som kortholderens navn og CVV-kode mangler, hvilket betyder, at skurker bevæbnede med dataene ville have haft svært ved at behandle falske transaktioner.

Ikke desto mindre skal berørte mennesker være lidt mere forsigtige. Nogle kortudstedere erstatter ikke kreditkortet uden bevis for misbrug, hvilket betyder, at brugere, der har foretaget betalinger gennem Paay i de sidste seks måneder, skal være nøje opmærksomme på deres kontoudtog. Som du kan se, er virksomheder ofte ikke klar over, at de udsætter følsomme oplysninger, så selvom du ikke er påvirket af Paays datalækage, skal du stadig kontrollere din saldo regelmæssigt og rapportere enhver svigagtig aktivitet straks.