Paay odsłonił miliony transakcji kartą kredytową. Co powinni zrobić użytkownicy?
Dostawcy usług internetowych po prostu nie mogą nadążyć za dużymi ilościami danych, które muszą przetworzyć. Błędy w konfiguracji są zbyt częste i codziennie powodują ujawnienie informacji. Badacze bezpieczeństwa spędzają większą część swoich dni na poszukiwaniu otwartych baz danych, które przechowują dane osobowe, a niektóre z ich odkryć są znacznie bardziej niepokojące niż inne. Na przykład, kiedy ekspert ds. Bezpieczeństwa Anurag Sen znalazł około 2,5 miliona rekordów hostowanych na serwerze, który był dostępny z dowolnego miejsca na świecie i nie był chroniony hasłem, wiedział, że należy zabezpieczyć dane.
Baza danych należała do Paay, procesora płatności, a za 2,5 milionami rekordów znajdowało się 2,5 miliona transakcji kartą kredytową. Sen skontaktował się z Zackiem Whittakerem z TechCruncha, który potwierdził źródło danych i powiedział, że ujawniono przeciek numery kart kredytowych, daty ważności i kwotę wydaną podczas każdej transakcji.
Jeszcze inna firma internetowa źle konfiguruje swoją bazę danych i wycieka informacje
Whittaker skontaktował się z Paay, powiadomił ich o naruszeniu i zapytał, co dokładnie się stało. Yitz Mendlowitz, jeden ze współzałożycieli procesora płatności, powiedział Whittakerowi, że zespół IT Paay postawił serwer 3 kwietnia, kiedy byli w trakcie wycofywania się z jednej z usług oferowanych przez platformę. Z powodu „błędu” informacje o transakcjach z 1 września 2019 r. Pozostały bez hasła. Wkrótce po otrzymaniu powiadomienia Paay zabezpieczył dane, ale zanim się o tym dowiedział, był już online przez prawie trzy tygodnie, co jest strasznie dużo czasu w dzisiejszych czasach.
Nie powinno być pocieszenia, że Paay jest daleki od jedynego usługodawcy, który wyciekł dane z powodu błędu konfiguracji. W rzeczywistości można argumentować, że zamiast organizować wyrafinowane ataki na określone cele, cyberprzestępcy, którzy chcą zdobyć pewne poufne informacje, znacznie lepiej odpalają jedną ze specjalistycznych wyszukiwarek, które potrafią zidentyfikować źle skonfigurowane bazy danych. Ale jakie szkody mogliby wyrządzić, gdyby informacje wyciekły przez Paay?
Zakres wycieków danych był ograniczony
Na początku Paay próbował zaprzeczyć obecności pełnych, jawnych numerów kart kredytowych w wyciekającej bazie danych. Yitz Mendlowitz początkowo powiedział, że platforma nie przechowuje numerów kart, ponieważ „nie ma dla nich pożytku”. Kiedy Zack Whittaker przedstawił dowody, że numery kart zostały w rzeczywistości ujawnione, Mendlowitz nie zareagował.
Obecność pełnych numerów kart jest zdecydowanie niepokojąca, ale faktem jest, że brakuje takich szczegółów, jak nazwa posiadacza karty i kod CVV, co oznacza, że oszustom uzbrojonym w dane trudno byłoby przetwarzać wszelkie nieuczciwe transakcje.
Niemniej jednak dotknięci ludzie muszą być bardziej ostrożni. Niektórzy wydawcy kart nie zastąpią karty kredytowej bez dowodów niewłaściwego użycia, co oznacza, że użytkownicy, którzy dokonali płatności za pośrednictwem Paay w ciągu ostatnich sześciu miesięcy, muszą zwrócić większą uwagę na wyciągi bankowe. Jak widać, firmy często nie zdają sobie sprawy z tego, że ujawniają poufne informacje, więc nawet jeśli nie ma wpływu wyciek danych Paay, powinieneś regularnie sprawdzać saldo i natychmiast zgłaszać wszelkie nieuczciwe działania.