Paay Εκτέθηκαν Εκατομμύρια Συναλλαγές με Πιστωτική Κάρτα. Τι πρέπει να κάνουν οι χρήστες;

Οι διαδικτυακοί πάροχοι υπηρεσιών απλά δεν μπορούν να συμβαδίσουν με τον μεγάλο όγκο δεδομένων που χρειάζονται για την επεξεργασία. Τα λάθη διαμόρφωσης είναι πολύ κοινά και οδηγούν στην έκθεση πληροφοριών σε καθημερινή βάση. Οι ερευνητές ασφαλείας περνούν το μεγαλύτερο μέρος των ημερών τους αναζητώντας ανοιχτές βάσεις δεδομένων που διατηρούν προσωπικά δεδομένα και ορισμένες από τις ανακαλύψεις τους είναι πολύ πιο ανησυχητικές από άλλες. Για παράδειγμα, όταν ο Anurag Sen, εμπειρογνώμονας ασφαλείας, βρήκε περίπου 2,5 εκατομμύρια αρχεία που φιλοξενούνται σε έναν διακομιστή που ήταν προσβάσιμο από οπουδήποτε στον κόσμο και δεν προστατεύεται από κωδικό πρόσβασης, ήξερε ότι πρέπει να ληφθούν άμεσα μέτρα για την προστασία των δεδομένων.

Η βάση δεδομένων ανήκε στον Paay, έναν επεξεργαστή πληρωμών και πίσω από τα 2,5 εκατομμύρια αρχεία, υπήρχαν 2,5 εκατομμύρια συναλλαγές με πιστωτική κάρτα. Ο Sen επικοινώνησε με τον Zack Whittaker της TechCrunch, ο οποίος επιβεβαίωσε την πηγή των δεδομένων και είπε ότι η διαρροή εξέθεσε αριθμούς πιστωτικών καρτών απλού κειμένου, ημερομηνίες λήξης και το ποσό που δαπανήθηκε κατά τη διάρκεια κάθε συναλλαγής.

Ακόμα μια άλλη διαδικτυακή εταιρεία εσφαλμένα διαμορφώνει τη βάση δεδομένων της και διαρρέει πληροφορίες

Ο Whittaker ήρθε σε επαφή με τον Paay, τους ενημέρωσε για την παράβαση και ρώτησε τι είχε συμβεί ακριβώς. Ο Yitz Mendlowitz, ένας από τους συνιδρυτές του επεξεργαστή πληρωμών, είπε στο Whittaker ότι η ομάδα πληροφορικής του Paay έβαλε τον διακομιστή στις 3 Απριλίου όταν ήταν στη μέση της κατάργησης μιας από τις υπηρεσίες που προσφέρει η πλατφόρμα. Λόγω "σφάλματος", οι πληροφορίες σχετικά με συναλλαγές που χρονολογούνται από την 1η Σεπτεμβρίου 2019 έμειναν χωρίς κωδικό πρόσβασης. Λίγο αφότου έλαβε την ειδοποίηση, ο Paay εξασφάλισε τα δεδομένα, αλλά τη στιγμή που το έμαθε, είχε ήδη συνδεθεί στο διαδίκτυο για περίπου τρεις εβδομάδες, κάτι που είναι πάρα πολύς χρόνος σε αυτήν την ημέρα και εποχή.

Δεν πρέπει να παρηγορεί ότι η Paay απέχει πολύ από τον μοναδικό πάροχο υπηρεσιών που έχει διαρρεύσει δεδομένα λόγω σφάλματος διαμόρφωσης. Στην πραγματικότητα, θα μπορούσατε να υποστηρίξετε ότι, αντί να οργανώσετε εξελιγμένες επιθέσεις σε συγκεκριμένους στόχους, οι εγκληματίες στον κυβερνοχώρο που θέλουν να πάρουν τα χέρια τους σε κάποιες ευαίσθητες πληροφορίες είναι πολύ καλύτερα να πυροδοτήσουν μια από τις εξειδικευμένες μηχανές αναζήτησης που μπορούν να εντοπίσουν κακές ρυθμίσεις βάσεων δεδομένων. Αλλά τι είδους ζημιά θα μπορούσαν να είχαν κάνει με τις πληροφορίες που διέρρευσε ο Paay;

Το εύρος των διαρροών δεδομένων ήταν περιορισμένο

Αρχικά, ο Paay προσπάθησε να αρνηθεί την παρουσία πλήρων αριθμών πιστωτικών καρτών απλού κειμένου στη βάση δεδομένων που διέρρευσε. Ο Yitz Mendlowitz είπε αρχικά ότι η πλατφόρμα δεν αποθηκεύει αριθμούς καρτών επειδή δεν έχει "χρήση για αυτούς". Όταν ο Zack Whittaker παρουσίασε αποδεικτικά στοιχεία ότι οι αριθμοί των καρτών, στην πραγματικότητα, διέρρευσαν, ωστόσο, ο Mendlowitz δεν ανταποκρίθηκε.

Η παρουσία πλήρων αριθμών καρτών είναι σίγουρα ανησυχητική, αλλά το γεγονός είναι ότι λείπουν λεπτομέρειες όπως το όνομα του κατόχου της κάρτας και ο κωδικός CVV, πράγμα που σημαίνει ότι οι απατεώνες που είναι εξοπλισμένοι με τα δεδομένα θα είχαν δυσκολία στην επεξεργασία τυχόν δόλιων συναλλαγών.

Παρ 'όλα αυτά, οι πληγέντες πρέπει να είναι λίγο πιο προσεκτικοί. Ορισμένοι εκδότες καρτών δεν θα αντικαταστήσουν την πιστωτική κάρτα χωρίς ενδείξεις κακής χρήσης, πράγμα που σημαίνει ότι οι χρήστες που έχουν πραγματοποιήσει πληρωμές μέσω του Paay τους τελευταίους έξι μήνες πρέπει να δώσουν μεγαλύτερη προσοχή στα τραπεζικά τους στοιχεία. Όπως μπορείτε να δείτε, οι εταιρείες συχνά δεν συνειδητοποιούν ότι εκθέτουν ευαίσθητες πληροφορίες, οπότε ακόμα κι αν δεν επηρεάζεστε από τη διαρροή δεδομένων της Paay, θα πρέπει να ελέγχετε τακτικά το υπόλοιπό σας και να αναφέρετε αμέσως οποιαδήποτε δόλια δραστηριότητα.