A Paay milliókat tett ki hitelkártya-tranzakciókat. Mit kell tennie a felhasználóknak?

Az online szolgáltatók egyszerűen nem tudnak lépést tartani a feldolgozáshoz szükséges nagy mennyiségű adattal. A konfigurációs hibák túlságosan általánosak, és napi információk kiszolgáltatásához vezetnek. A biztonsági kutatók napjaik nagyobb részét a személyes adatokat tároló nyílt adatbázisok keresésére töltenek, és néhány felfedezésük sokkal zavaróbb, mint mások. Például, amikor Anurag Sen, a biztonsági szakértő, körülbelül 2,5 millió rekordot talált egy olyan kiszolgálón, amely a világ bármely pontjáról elérhető volt, és amelyet jelszóval nem védett, tudta, hogy azonnali intézkedéseket kell hozni az adatok biztonságossá tétele érdekében.

Az adatbázis a Paay-hez, a fizetési feldolgozóhoz tartozott, és a 2,5 millió rekord mögött 2,5 millió hitelkártya-tranzakció volt. Sen felvette a kapcsolatot a TechCrunch Zack Whittakerrel, aki megerősítette az adatok forrását, és azt állította, hogy a szivárgás a szöveges hitelkártya számát, lejárati idejét és az egyes tranzakciók során elköltött összeget fedezte fel.

Még egy másik online vállalat tévesen konfigurálja az adatbázisát, és kiszivárogtatja az információkat

Whittaker kapcsolatba lépett Paay-vel, értesítette őket a jogsértésről, és megkérdezte, hogy mi történt pontosan. Yitz Mendlowitz, a fizetésfeldolgozó egyik alapítója, elmondta Whittakernek, hogy a Paay IT-csapata április 3-án állította fel a szervert, amikor éppen a platform által kínált szolgáltatások értékcsökkenésének közepén álltak. "Hiba" miatt a 2019. szeptember 1-jétől származó tranzakciókra vonatkozó információk jelszó nélkül maradtak. Röviddel az értesítés kézhezvétele után Paay megbiztosította az adatokat, de mire megtudta, az már közel három hétig online volt, ami manapság rettenetes idő.

Nem vigasztalható, hogy Paay messze van az egyetlen szolgáltatótól, amely konfigurációs hiba miatt kiszivárogtatta az adatokat. Valójában azt állíthatja, hogy a konkrét célok elleni kifinomult támadások szervezése helyett a számítógépes bűnözők, akik valamilyen érzékeny információt szeretnének megszerezni, sokkal jobban tüntetik fel az egyik speciális keresőmotort, amely azonosítja a rosszul konfigurált adatbázisokat. De milyen károkat okozhattak a Paay által kiszivárogtatott információkkal?

A kiszivárgott adatok tartománya korlátozott volt

Először Paay megpróbálta tagadni a teljes, egyszerű szöveges hitelkártya-számok jelenlétét a kiszivárgott adatbázisban. Yitz Mendlowitz kezdetben azt mondta, hogy a platform nem tárolja a kártyaszámokat, mert "nekik nincs haszna". Amikor Zack Whittaker bizonyítékot szolgáltatott arra vonatkozóan, hogy a kártyaszámok valójában kiszivárogtak, Mendlowitz azonban nem válaszolt.

A teljes kártyaszámok jelenléte határozottan aggasztó, de az a tény, hogy hiányoznak olyan részletek, mint a kártyatulajdonos neve és a CVV-kód, ami azt jelenti, hogy az adatokkal felfegyverkedett csalóknak nehezen lehetett volna feldolgozni minden csalárd tranzakciót.

Ennek ellenére az érintett embereknek kissé óvatosabbnak kell lenniük. Néhány kártyakibocsátó nem helyettesíti a hitelkártyát a visszaélés bizonyítéka nélkül, ami azt jelenti, hogy azoknak a felhasználóknak, akik az elmúlt hat hónapban fizettek be a Paay-en keresztül, fokozott figyelmet kell fordítaniuk bankszámlakivonatukra. Mint láthatja, a vállalatok gyakran nem veszik észre, hogy érzékeny információkat fednek fel, tehát még akkor is, ha Paay adatszivárgása nem érinti Önt, rendszeresen ellenőrizze egyenlegét, és haladéktalanul jelentsen minden csaló tevékenységet.