Paayは数百万のクレジットカード取引を公開しました。ユーザーは何をすべきですか?
オンラインサービスプロバイダーは、処理する必要のある大量のデータについていけません。構成の誤りはすべて非常に一般的であり、日常的に情報が漏洩する可能性があります。セキュリティ研究者は、個人データを保持するオープンデータベースを探すために日々の多くの時間を費やしており、その発見のいくつかは他のものよりもはるかに戸惑っています。たとえば、セキュリティの専門家であるAnurag Senは、世界中のどこからでもアクセスでき、パスワードで保護されていないサーバー上にホストされている約250万件のレコードを見つけたとき、データを保護するために直ちに行動を起こす必要があることを知っていました。
データベースは支払い処理業者のPaayが所有しており、250万件のレコードの背後にある250万件のクレジットカード取引がありました。 SenはTechCrunchのZack Whittakerと連絡を取り、データの出所を確認し、リークによりプレーンテキストのクレジットカード番号、有効期限、および各トランザクション中に費やされた金額が露呈したと述べた。
さらに別のオンライン企業がデータベースを誤って設定し、情報を漏らしている
WhittakerはPaayに連絡を取り、違反について彼らに通知し、正確に何が起こったのか尋ねました。ペイトプロセッサの共同創設者の1人であるYitz MendlowitzはWhittakerに、PaayのITチームは、プラットフォームが提供するサービスの1つを廃止する途中だった4月3日にサーバーを設置したと語った。 「エラー」のため、2019年9月1日までのトランザクションに関する情報はパスワードなしで残されました。通知を受け取った直後に、Paayはデータを保護しましたが、それを知った時点で、すでに3週間近くオンラインになっていたため、今日の時代にはかなり長い時間を費やしています。
Paayが、構成エラーのためにデータを漏らした唯一のサービスプロバイダーから遠く離れていることは、慰めにならないはずです。実際、特定のターゲットに対する高度な攻撃を組織化する代わりに、機密情報を入手したいサイバー犯罪者は、適切に構成されていないデータベースを特定できる専門の検索エンジンの1つを起動する方がはるかに良いと主張できます。しかし、Paayが漏えいした情報によって、彼らはどのような被害を被ったのでしょうか?
漏洩データの範囲が限定されていた
最初、Paayは漏洩したデータベースに完全な平文のクレジットカード番号が存在することを否定しようとしました。 Yitz Mendlowitz氏は当初、このプラットフォームには「カード番号を使用しない」ため、カード番号は保存しないと述べました。ザック・ウィテカーがカード番号が実際に漏らされたという証拠を提示したとき、しかし、メンドロヴィッツは応答に失敗しました。
完全なカード番号の存在は間違いなく心配ですが、問題の事実は、カード所有者の名前やCVVコードなどの詳細が欠落していることです。これは、データで武装した詐欺師が不正なトランザクションを処理するのに苦労したことを意味します。
それにもかかわらず、影響を受ける人々はもう少し注意する必要があります。一部のカード発行会社は、誤用の証拠がないとクレジットカードを交換しません。つまり、過去6か月間にPaayを通じて支払いを行ったユーザーは、銀行の明細書に細心の注意を払う必要があります。ご覧のように、企業は機密情報を公開していることに気づいていないことが多いため、Paayのデータ漏洩の影響を受けていなくても、残高を定期的に確認し、不正行為をすぐに報告する必要があります。