Milioni di transazioni con carta di credito esposte Paay. Cosa dovrebbero fare gli utenti?

I fornitori di servizi online semplicemente non riescono a tenere il passo con i grandi volumi di dati che devono elaborare. Gli errori di configurazione sono fin troppo comuni e portano all'esposizione di informazioni su base giornaliera. I ricercatori della sicurezza trascorrono la maggior parte delle loro giornate alla ricerca di database aperti che contengono dati personali e alcune delle loro scoperte sono molto più sconcertanti di altre. Ad esempio, quando Anurag Sen, un esperto di sicurezza, ha trovato circa 2,5 milioni di record ospitati su un server che era accessibile da qualsiasi parte del mondo e non era protetto da una password, sapeva che dovevano essere intraprese azioni immediate per proteggere i dati.

Il database apparteneva a Paay, un processore di pagamento, e dietro i 2,5 milioni di record c'erano 2,5 milioni di transazioni con carta di credito. Sen si è messo in contatto con Zack Whittaker di TechCrunch, che ha confermato la fonte dei dati e ha affermato che la fuga ha rivelato numeri di carta di credito in chiaro, date di scadenza e importo speso durante ciascuna transazione.

Ancora un'altra società online configura il suo database e perde informazioni

Whittaker si è messo in contatto con Paay, li ha informati della violazione e ha chiesto cosa fosse successo esattamente. Yitz Mendlowitz, uno dei co-fondatori dell'elaboratore dei pagamenti, ha detto a Whittaker che il team IT di Paay ha installato il server il 3 aprile mentre stavano deprecando uno dei servizi offerti dalla piattaforma. A causa di "un errore", le informazioni sulle transazioni risalenti al 1 ° settembre 2019 sono rimaste senza password. Poco dopo aver ricevuto la notifica, Paay ha messo al sicuro i dati, ma quando ne è venuto a conoscenza, era già online da quasi tre settimane, il che è un tempo terribile in questi giorni.

Non dovrebbe essere una consolazione il fatto che Paay sia ben lungi dall'essere l'unico fornitore di servizi a perdere dati a causa di un errore di configurazione. In effetti, si potrebbe sostenere che, invece di organizzare attacchi sofisticati su obiettivi specifici, i criminali informatici che vogliono mettere le mani su alcune informazioni sensibili stanno molto meglio accendendo uno dei motori di ricerca specializzati in grado di identificare database mal configurati. Ma che tipo di danno avrebbero potuto fare con le informazioni trapelate da Paay?

L'intervallo dei dati trapelati era limitato

Inizialmente, Paay ha cercato di negare la presenza di numeri di carta di credito completi e in chiaro nel database trapelato. Yitz Mendlowitz inizialmente disse che la piattaforma non memorizza i numeri delle carte perché "non serve a loro". Quando Zack Whittaker presentò prove del fatto che i numeri delle carte fossero trapelati, tuttavia, Mendlowitz non rispose.

La presenza di numeri di carta completi è sicuramente preoccupante, ma il fatto è che mancano dettagli come il nome del titolare della carta e il codice CVV, il che significa che i truffatori armati di dati avrebbero avuto difficoltà a elaborare transazioni fraudolente.

Tuttavia, le persone colpite devono essere un po 'più attente. Alcuni emittenti di carte non sostituiranno la carta di credito senza alcuna prova di uso improprio, il che significa che gli utenti che hanno effettuato pagamenti tramite Paay negli ultimi sei mesi devono prestare maggiore attenzione ai loro estratti conto bancari. Come puoi vedere, le aziende spesso non si rendono conto che stanno esponendo informazioni sensibili, quindi anche se non sei interessato dalla perdita di dati di Paay, dovresti comunque controllare regolarmente il tuo saldo e segnalare immediatamente qualsiasi attività fraudolenta.