Paay stelde miljoenen creditcardtransacties bloot. Wat moeten gebruikers doen?
Online serviceproviders kunnen simpelweg de grote hoeveelheden gegevens die ze moeten verwerken niet bijhouden. Configuratiefouten komen maar al te vaak voor en leiden dagelijks tot het blootleggen van informatie. Beveiligingsonderzoekers besteden het grootste deel van hun tijd aan het zoeken naar open databases met persoonlijke gegevens, en sommige van hun ontdekkingen zijn veel verontrustender dan andere. Toen Anurag Sen, een beveiligingsexpert, bijvoorbeeld ongeveer 2,5 miljoen records vond die werden gehost op een server die overal ter wereld toegankelijk was en niet was beveiligd met een wachtwoord, wist hij dat er onmiddellijk actie moest worden ondernomen om de gegevens te beveiligen.
De database was van Paay, een betalingsverwerker, en achter de 2,5 miljoen records waren er 2,5 miljoen creditcardtransacties. Sen nam contact op met TechCrunch Zack Whittaker, die bevestigde de bron van de gegevens en zei dat het lek blootgesteld plaintext credit card nummers, vervaldata, en het bedrag besteed tijdens elke transactie.
Weer een ander online bedrijf configureert zijn database verkeerd en lekt informatie
Whittaker nam contact op met Paay, informeerde hen over de inbreuk en vroeg wat er precies was gebeurd. Yitz Mendlowitz, een van de medeoprichters van de betalingsverwerker, vertelde Whittaker dat het IT-team van Paay de server op 3 april had opgezet toen ze bezig waren met het afschaffen van een van de services die het platform biedt. Vanwege 'een fout' is informatie over transacties die dateren van 1 september 2019 zonder wachtwoord achtergelaten. Kort nadat het de melding had ontvangen, heeft Paay de gegevens beveiligd, maar tegen de tijd dat het erachter kwam, was het al bijna drie weken online, wat erg veel tijd is in deze tijd.
Het mag geen troost zijn dat Paay verre van de enige serviceprovider is die gegevens heeft gelekt vanwege een configuratiefout. Je zou zelfs kunnen stellen dat in plaats van geavanceerde aanvallen op specifieke doelen te organiseren, de cybercriminelen die gevoelige informatie willen bemachtigen, veel beter af zijn met het opstarten van een van de gespecialiseerde zoekmachines die slecht geconfigureerde databases kunnen identificeren. Maar wat voor schade hadden ze kunnen aanrichten met de door Paay gelekte informatie?
Het bereik van de gelekte gegevens was beperkt
In eerste instantie probeerde Paay de aanwezigheid van volledige creditcardnummers in platte tekst in de gelekte database te ontkennen. Yitz Mendlowitz zei aanvankelijk dat het platform geen kaartnummers opslaat omdat het 'geen nut heeft'. Toen Zack Whittaker bewijs voorlegde dat de kaartnummers in feite waren gelekt, reageerde Mendlowitz echter niet.
De aanwezigheid van volledige kaartnummers is zeker zorgwekkend, maar feit is dat details zoals de naam van de kaarthouder en de CVV-code ontbreken, wat betekent dat oplichters gewapend met de gegevens het moeilijk zouden hebben om frauduleuze transacties te verwerken.
Desalniettemin moeten getroffen mensen wat voorzichtiger zijn. Sommige kaartuitgevers vervangen de creditcard niet zonder enig bewijs van misbruik, wat betekent dat gebruikers die de afgelopen zes maanden via Paay hebben betaald, meer aandacht moeten besteden aan hun bankafschriften. Zoals u kunt zien, realiseren bedrijven zich vaak niet dat ze gevoelige informatie vrijgeven, dus zelfs als u niet wordt beïnvloed door het datalek van Paay, moet u uw saldo nog steeds regelmatig controleren en elke frauduleuze activiteit onmiddellijk melden.
