Paay utsatte millioner av kredittkorttransaksjoner. Hva bør brukere gjøre?

Nettleverandører kan ganske enkelt ikke følge med de store datamengdene de trenger å behandle. Konfigurasjonsfeil er altfor vanlige, og de fører til eksponering av informasjon på daglig basis. Sikkerhetsforskere bruker den største delen av dagene på å lete etter åpne databaser som inneholder personopplysninger, og noen av funnene deres er langt mer forvirrende enn andre. Da Anurag Sen, en sikkerhetsekspert, for eksempel fant rundt 2,5 millioner poster som var vert på en server som var tilgjengelig fra hvor som helst i verden og ikke var beskyttet av et passord, visste han at det må gjøres umiddelbare tiltak for å sikre dataene.

Databasen tilhørte Paay, en betalingsprosessor, og bak de 2,5 millioner postene var det 2,5 millioner kredittkorttransaksjoner. Sen kom i kontakt med TechCrunchs Zack Whittaker, som bekreftet kilden til dataene og sa at lekkasjen utsatte bankkortnummer, utløpsdatoer og beløpet som ble brukt under hver transaksjon.

Nok et nettfirma konfigurerer sin database feil og lekker informasjon

Whittaker tok kontakt med Paay, varslet dem om bruddet og spurte hva som hadde skjedd nøyaktig. Yitz Mendlowitz, en av betalingsprosessorens medstiftere, fortalte Whittaker at Paays IT-team satte opp serveren 3. april da de var i midten av å avskrive en av tjenestene plattformen tilbyr. På grunn av "en feil" ble informasjon om transaksjoner helt tilbake til 1. september 2019 stående uten passord. Rett etter at den fikk varslingen, sikret Paay dataene, men da den fikk vite om det, hadde de allerede vært på nettet i nesten tre uker, noe som er veldig mye tid i dag.

Det skal ikke være noen trøst at Paay langt fra er den eneste tjenesteleverandøren som har lekket data på grunn av en konfigurasjonsfeil. Faktisk kan du hevde at i stedet for å organisere sofistikerte angrep på spesifikke mål, er nettkriminelle som ønsker å få tak i litt sensitiv informasjon, mye bedre av å skyte opp en av de spesialiserte søkemotorene som kan identifisere dårlig konfigurerte databaser. Men hva slags skade kunne de ha gjort med informasjonen som lekket av Paay?

Omfanget av lekkede data var begrenset

Til å begynne med prøvde Paay å nekte tilstedeværelsen av fullstendige, klartekstkredittkortnumre i den lekke databasen. Yitz Mendlowitz sa til å begynne med at plattformen ikke lagrer kortnumre fordi den ikke har noe bruk for dem. Da Zack Whittaker presenterte bevis for at kortnummerene faktisk var lekket, unnlot Mendlowitz å svare.

Tilstedeværelsen av fulle kortnumre er definitivt bekymringsfull, men faktum er at detaljer som kortholderens navn og CVV-kode mangler, noe som betyr at skurker bevæpnet med dataene ville hatt vanskelig for å behandle eventuelle uredelige transaksjoner.

Likevel må berørte mennesker være litt mer forsiktige. Noen kortutstedere vil ikke erstatte kredittkortet uten bevis på misbruk, noe som betyr at brukere som har betalt via Paay de siste seks månedene, må følge nøye med på kontoutskriftene. Som du ser, innser ikke selskaper ofte at de utsetter sensitiv informasjon, så selv om du ikke er påvirket av Paays datalekkasje, bør du likevel sjekke saldoen regelmessig og rapportere all uredelig aktivitet umiddelbart.