Paay hat Millionen von Kreditkartentransaktionen ausgesetzt. Was sollten Benutzer tun?

Onlinedienstanbieter können einfach nicht mit den großen Datenmengen Schritt halten, die sie verarbeiten müssen. Konfigurationsfehler sind allzu häufig und führen dazu, dass täglich Informationen veröffentlicht werden. Sicherheitsforscher verbringen den größten Teil ihrer Tage damit, nach offenen Datenbanken zu suchen, in denen personenbezogene Daten gespeichert sind, und einige ihrer Entdeckungen sind weitaus beunruhigender als andere. Als beispielsweise Anurag Sen, ein Sicherheitsexperte, rund 2,5 Millionen Datensätze fand, die auf einem Server gehostet wurden, auf den von überall auf der Welt zugegriffen werden konnte und der nicht durch ein Kennwort geschützt war, wusste er, dass sofort Maßnahmen zur Sicherung der Daten ergriffen werden müssen.

Die Datenbank gehörte Paay, einem Zahlungsabwickler, und hinter den 2,5 Millionen Datensätzen standen 2,5 Millionen Kreditkartentransaktionen. Sen nahm Kontakt mit TechCrunch Zack Whittaker, der bestätigt , die Quelle der Daten und sagte , dass die undichte Stelle Klartext Kreditkartennummern, Verfallsdaten ausgesetzt, und die Menge bei jeder Transaktion ausgegeben.

Ein weiteres Online-Unternehmen konfiguriert seine Datenbank falsch und verliert Informationen

Whittaker setzte sich mit Paay in Verbindung, informierte sie über den Verstoß und fragte, was genau passiert sei. Yitz Mendlowitz, einer der Mitbegründer des Zahlungsdienstleisters, sagte Whittaker, dass das IT-Team von Paay den Server am 3. April eingerichtet habe, als es gerade dabei war, einen der von der Plattform angebotenen Dienste zu verwerfen. Aufgrund eines "Fehlers" wurden Informationen zu Transaktionen aus dem 1. September 2019 ohne Passwort hinterlassen. Kurz nachdem es die Benachrichtigung erhalten hatte, sicherte Paay die Daten, aber als es davon erfuhr, war es bereits fast drei Wochen online, was heutzutage sehr viel Zeit ist.

Es sollte kein Trost sein, dass Paay weit davon entfernt ist, der einzige Dienstanbieter zu sein, der aufgrund eines Konfigurationsfehlers Daten verloren hat. In der Tat könnte man argumentieren, dass Cyberkriminelle, die vertrauliche Informationen in die Hände bekommen möchten, viel besser dran sind, eine der spezialisierten Suchmaschinen zu starten, die schlecht konfigurierte Datenbanken identifizieren können, anstatt raffinierte Angriffe auf bestimmte Ziele zu organisieren. Aber was für einen Schaden hätten sie mit den von Paay durchgesickerten Informationen anrichten können?

Der Bereich der durchgesickerten Daten war begrenzt

Zuerst versuchte Paay, das Vorhandensein vollständiger Klartext-Kreditkartennummern in der durchgesickerten Datenbank zu leugnen. Yitz Mendlowitz sagte anfangs, dass die Plattform keine Kartennummern speichert, weil sie "keine Verwendung für sie hat". Als Zack Whittaker Beweise dafür vorlegte, dass die Kartennummern tatsächlich durchgesickert waren, reagierte Mendlowitz jedoch nicht.

Das Vorhandensein vollständiger Kartennummern ist definitiv besorgniserregend, aber Tatsache ist, dass Details wie der Name des Karteninhabers und der CVV-Code fehlen, was bedeutet, dass Gauner, die mit den Daten bewaffnet sind, Schwierigkeiten gehabt hätten, betrügerische Transaktionen zu verarbeiten.

Trotzdem müssen Betroffene etwas vorsichtiger sein. Einige Kartenaussteller ersetzen die Kreditkarte nicht ohne Anzeichen eines Missbrauchs. Dies bedeutet, dass Benutzer, die in den letzten sechs Monaten Zahlungen über Paay getätigt haben, ihre Kontoauszüge genauer beachten müssen. Wie Sie sehen, erkennen Unternehmen häufig nicht, dass sie vertrauliche Informationen offenlegen. Selbst wenn Sie nicht von Paays Datenleck betroffen sind, sollten Sie Ihr Guthaben dennoch regelmäßig überprüfen und betrügerische Aktivitäten sofort melden.