Mokėkite milijonus kredito kortelių operacijų. Ką turėtų daryti vartotojai?
Internetinių paslaugų teikėjai tiesiog negali suspėti su dideliais duomenų kiekiais, kuriuos reikia apdoroti. Konfigūracijos klaidos yra per daug įprastos ir dėl jų kasdien susiduriama su informacija. Saugumo tyrėjai didesnę savo dienų dalį praleidžia ieškodami atvirų duomenų bazių, kuriose saugomi asmens duomenys, o kai kurie jų atradimai kelia daug daugiau nerimo nei kiti. Pavyzdžiui, kai saugumo ekspertas Anuragas Senas aptiko apie 2,5 milijono įrašų, esančių serveryje, kuris buvo pasiekiamas iš bet kurios pasaulio vietos ir nebuvo apsaugotas slaptažodžiu, jis žinojo, kad norint apsaugoti duomenis reikia nedelsiant imtis veiksmų.
Duomenų bazė priklausė mokėjimų tvarkytojui „Paay“, o už 2,5 milijono įrašų buvo 2,5 milijono kreditinių kortelių operacijų. Senas susisiekė su „TechCrunch“ darbuotoju Zacku Whittakeriu, kuris patvirtino duomenų šaltinį ir teigė, kad nutekėjimas atskleidė paprasto teksto kreditinių kortelių numerius, galiojimo datas ir kiekvienos operacijos metu išleistą sumą.
Kita internetinė įmonė neteisingai sukonfigūruoja savo duomenų bazę ir nutekina informaciją
Whittakeris susisiekė su Paay, pranešė jiems apie pažeidimą ir paklausė, kas nutiko tiksliai. Yitz Mendlowitz, vienas iš mokėjimų perdirbėjų įkūrėjų, sakė „Whittaker“, kad „Paay“ IT komanda serverį pastatė balandžio 3 d., Kai jie buvo nudėvę vieną iš platformos siūlomų paslaugų. Dėl „klaidos“ informacija apie operacijas, datuojamas 2019 m. Rugsėjo 1 d., Liko be slaptažodžio. Netrukus po to, kai gavo pranešimą, „Paay“ apsaugojo duomenis, tačiau, kai apie tai sužinojo, jis jau buvo prisijungęs prie interneto beveik tris savaites, o tai šiais laikais yra nepaprastai daug laiko.
Nereikia paguosti, kad „Paay“ yra toli gražu ne vienintelis paslaugų teikėjas, kuris nutekino duomenis dėl konfigūracijos klaidos. Tiesą sakant, jūs galite teigti, kad užuot organizavę sudėtingas išpuolius prieš konkrečius taikinius, kibernetiniams nusikaltėliams, norintiems įsijausti į neskelbtiną informaciją, daug geriau suaktyvinti vieną iš specializuotų paieškos sistemų, galinčių nustatyti blogai sukonfigūruotas duomenų bazes. Bet kokią žalą jie galėjo padaryti dėl „Paay“ nutekintos informacijos?
Nutekėjusių duomenų diapazonas buvo ribotas
Iš pradžių „Paay“ bandė paneigti, kad nutekėjusioje duomenų bazėje yra visiški paprasto teksto kreditinių kortelių numeriai. Yitz Mendlowitz iš pradžių teigė, kad platforma nesaugo kortelių numerių, nes ji jiems „nenaudinga“. Kai Zackas Whittakeris pateikė įrodymų, kad kortelių numeriai iš tikrųjų buvo nutekėję, Mendlowitzas neatsakė.
Visiški kortelių numeriai tikrai kelia nerimą, tačiau faktas yra tas, kad trūksta tokios informacijos kaip kortelės turėtojo vardas ir CVV kodas, o tai reiškia, kad duomenimis apsiginklavę sukčiai būtų sunkiai sutvarkę bet kokias nesąžiningas operacijas.
Nepaisant to, paveikti žmonės turi būti šiek tiek atsargesni. Kai kurie kortelių išdavėjai nepakeis kredito kortelės neturėdami jokių piktnaudžiavimo įrodymų, o tai reiškia, kad vartotojai, mokėję per „Paay“ per pastaruosius šešis mėnesius, turi atidžiau atkreipti dėmesį į savo banko išrašus. Kaip matote, įmonės dažnai nesuvokia, kad atskleidžia neskelbtiną informaciją, taigi, net jei jums įtakos neturi „Paay“ duomenų nutekėjimas, vis tiek turėtumėte reguliariai tikrinti savo balansą ir nedelsdami pranešti apie bet kokią nesąžiningą veiklą.
