Paay expuso millones de transacciones con tarjeta de crédito. ¿Qué deben hacer los usuarios?

Los proveedores de servicios en línea simplemente no pueden mantenerse al día con los grandes volúmenes de datos que necesitan procesar. Los errores de configuración son muy comunes y conducen a la exposición de información a diario. Los investigadores de seguridad pasan la mayor parte de sus días buscando bases de datos abiertas que contengan datos personales, y algunos de sus descubrimientos son mucho más desconcertantes que otros. Por ejemplo, cuando Anurag Sen, un experto en seguridad, encontró alrededor de 2.5 millones de registros alojados en un servidor al que se podía acceder desde cualquier parte del mundo y no estaba protegido por una contraseña, sabía que se deben tomar medidas inmediatas para proteger los datos.

La base de datos pertenecía a Paay, un procesador de pagos, y detrás de los 2.5 millones de registros, había 2.5 millones de transacciones con tarjeta de crédito. Sen se puso en contacto con Zack Whittaker de TechCrunch, quien confirmó la fuente de los datos y dijo que la fuga expuso los números de tarjeta de crédito de texto sin formato, las fechas de vencimiento y la cantidad gastada durante cada transacción.

Otra compañía en línea configura mal su base de datos y filtra información

Whittaker se puso en contacto con Paay, les notificó sobre la violación y les preguntó qué había sucedido exactamente. Yitz Mendlowitz, uno de los cofundadores del procesador de pagos, le dijo a Whittaker que el equipo de TI de Paay instaló el servidor el 3 de abril cuando estaban en medio de despreciar uno de los servicios que ofrece la plataforma. Debido a "un error", la información sobre las transacciones que datan del 1 de septiembre de 2019 se dejó sin contraseña. Poco después de recibir la notificación, Paay aseguró los datos, pero para cuando se enteró de eso, ya había estado en línea durante casi tres semanas, lo que es un tiempo horrible en estos tiempos.

No debería servir de consuelo que Paay esté lejos de ser el único proveedor de servicios que ha filtrado datos debido a un error de configuración. De hecho, se podría argumentar que, en lugar de organizar ataques sofisticados contra objetivos específicos, los ciberdelincuentes que desean obtener información confidencial están mucho mejor activando uno de los motores de búsqueda especializados que pueden identificar bases de datos mal configuradas. Pero, ¿qué tipo de daño podrían haber hecho con la información filtrada por Paay?

El rango de los datos filtrados fue limitado

Al principio, Paay intentó negar la presencia de números completos de tarjetas de crédito de texto sin formato en la base de datos filtrada. Yitz Mendlowitz dijo inicialmente que la plataforma no almacena números de tarjeta porque "no les sirve". Sin embargo, cuando Zack Whittaker presentó evidencia de que los números de las tarjetas se filtraron, Mendlowitz no respondió.

La presencia de números de tarjeta completos definitivamente es preocupante, pero el hecho es que faltan detalles como el nombre del titular de la tarjeta y el código CVV, lo que significa que los delincuentes armados con los datos habrían tenido dificultades para procesar cualquier transacción fraudulenta.

Sin embargo, las personas afectadas deben ser un poco más cuidadosas. Algunos emisores de tarjetas no reemplazarán la tarjeta de crédito sin evidencia de mal uso, lo que significa que los usuarios que han realizado pagos a través de Paay en los últimos seis meses deben prestar más atención a sus estados de cuenta bancarios. Como puede ver, las compañías a menudo no se dan cuenta de que están exponiendo información confidencial, por lo que incluso si no se ve afectado por la fuga de datos de Paay, aún debe verificar su saldo regularmente e informar cualquier actividad fraudulenta de inmediato.