Paay a exposé des millions de transactions par carte de crédit. Que doivent faire les utilisateurs?
Les fournisseurs de services en ligne ne peuvent tout simplement pas suivre les volumes importants de données dont ils ont besoin pour traiter. Les erreurs de configuration sont trop fréquentes et entraînent une exposition quotidienne des informations. Les chercheurs en sécurité passent la majeure partie de leur journée à rechercher des bases de données ouvertes contenant des données personnelles, et certaines de leurs découvertes sont beaucoup plus déconcertantes que d'autres. Par exemple, lorsque Anurag Sen, un expert en sécurité, a trouvé environ 2,5 millions d'enregistrements hébergés sur un serveur accessible de n'importe où dans le monde et non protégé par un mot de passe, il savait que des mesures immédiates devaient être prises pour sécuriser les données.
La base de données appartenait à Paay, un processeur de paiement, et derrière les 2,5 millions d'enregistrements, il y avait 2,5 millions de transactions par carte de crédit. Sen a contacté Zack Whittaker de TechCrunch, qui a confirmé la source des données et a déclaré que la fuite révélait les numéros de carte de crédit en texte brut, les dates d'expiration et le montant dépensé lors de chaque transaction.
Encore une autre société en ligne mal configurée sa base de données et des fuites d'informations
Whittaker a contacté Paay, les a informés de la violation et a demandé ce qui s'était passé exactement. Yitz Mendlowitz, l'un des cofondateurs du processeur de paiement, a déclaré à Whittaker que l'équipe informatique de Paay avait installé le serveur le 3 avril alors qu'elle était en train de déprécier l'un des services offerts par la plate-forme. En raison d'une "erreur", les informations sur les transactions datant du 1er septembre 2019 ont été laissées sans mot de passe. Peu de temps après avoir reçu la notification, Paay a sécurisé les données, mais au moment où il en a eu connaissance, elles étaient déjà en ligne depuis près de trois semaines, ce qui représente beaucoup de temps de nos jours.
Cela ne devrait pas être une consolation que Paay soit loin d'être le seul fournisseur de services à avoir divulgué des données en raison d'une erreur de configuration. En fait, vous pourriez faire valoir qu'au lieu d'organiser des attaques sophistiquées sur des cibles spécifiques, les cybercriminels qui veulent mettre la main sur des informations sensibles feraient bien mieux de lancer l'un des moteurs de recherche spécialisés qui peuvent identifier les bases de données mal configurées. Mais quels dommages auraient-ils pu faire avec les informations divulguées par Paay?
La plage des données divulguées était limitée
Dans un premier temps, Paay a tenté de nier la présence de numéros de carte de crédit en clair dans la base de données divulguée. Yitz Mendlowitz a initialement déclaré que la plate-forme ne stocke pas les numéros de carte car elle "ne sert à rien". Cependant, lorsque Zack Whittaker a présenté des preuves que les numéros de carte avaient été divulgués, Mendlowitz n'a pas répondu.
La présence de numéros de carte complets est certainement inquiétante, mais le fait est que des détails tels que le nom du titulaire de la carte et le code CVV sont manquants, ce qui signifie que les escrocs armés de données auraient eu du mal à traiter toutes les transactions frauduleuses.
Néanmoins, les personnes affectées doivent être un peu plus prudentes. Certains émetteurs de cartes ne remplaceront pas la carte de crédit sans aucune preuve d'utilisation abusive, ce qui signifie que les utilisateurs qui ont effectué des paiements via Paay au cours des six derniers mois doivent accorder une plus grande attention à leurs relevés bancaires. Comme vous pouvez le voir, les entreprises ne réalisent souvent pas qu'elles divulguent des informations sensibles.Par conséquent, même si vous n'êtes pas affecté par la fuite de données de Paay, vous devez toujours vérifier régulièrement votre solde et signaler immédiatement toute activité frauduleuse.