Pague milhões de transações de cartão de crédito expostas. O que os usuários devem fazer?

Os provedores de serviços on-line simplesmente não conseguem acompanhar o grande volume de dados que precisam processar. Erros de configuração são muito comuns e levam à exposição de informações diariamente. Os pesquisadores de segurança passam a maior parte de seus dias procurando bancos de dados abertos que contêm dados pessoais, e algumas de suas descobertas são muito mais desconcertantes do que outras. Por exemplo, quando Anurag Sen, um especialista em segurança, encontrou cerca de 2,5 milhões de registros hospedados em um servidor que era acessível de qualquer lugar do mundo e não estava protegido por uma senha, ele sabia que eram necessárias ações imediatas para proteger os dados.

O banco de dados pertencia ao Paay, um processador de pagamentos e, atrás dos 2,5 milhões de registros, havia 2,5 milhões de transações com cartão de crédito. Sen entrou em contato com Zack Whittaker, do TechCrunch, que confirmou a fonte dos dados e disse que o vazamento expunha números de cartão de crédito em texto sem formatação, datas de vencimento e o valor gasto durante cada transação.

Outra empresa online desconfigura seu banco de dados e vaza informações

Whittaker entrou em contato com Paay, notificou-os sobre a violação e perguntou o que havia acontecido exatamente. Yitz Mendlowitz, um dos co-fundadores do processador de pagamentos, disse a Whittaker que a equipe de TI de Paay instalou o servidor em 3 de abril, quando eles estavam no meio da depreciação de um dos serviços que a plataforma oferece. Devido a "um erro", as informações sobre transações que datam de 1 de setembro de 2019 foram deixadas sem uma senha. Pouco depois de receber a notificação, Paay protegeu os dados, mas, quando soube disso, já estava online por quase três semanas, o que é uma quantidade enorme de tempo hoje em dia.

Não é de consolar que Paay esteja longe de ser o único provedor de serviços que vazou dados devido a um erro de configuração. De fato, você pode argumentar que, em vez de organizar ataques sofisticados a alvos específicos, os cibercriminosos que desejam colocar algumas mãos em informações confidenciais estão muito melhor acionando um dos mecanismos de pesquisa especializados que podem identificar bancos de dados mal configurados. Mas que tipo de dano eles poderiam ter causado com as informações vazadas por Paay?

O alcance dos dados vazados era limitado

A princípio, Paay tentou negar a presença de números de cartão de crédito em texto puro no banco de dados vazado. Yitz Mendlowitz disse inicialmente que a plataforma não armazena números de cartões porque "não tem utilidade para eles". Quando Zack Whittaker apresentou evidências de que os números dos cartões realmente vazaram, Mendlowitz não respondeu.

A presença de números de cartão completos é definitivamente preocupante, mas o fato é que faltam detalhes como o nome do titular do cartão e o código CVV, o que significa que criminosos armados com os dados teriam dificuldade em processar transações fraudulentas.

No entanto, as pessoas afetadas devem ter um pouco mais de cuidado. Alguns emissores de cartões não substituem o cartão de crédito sem nenhuma evidência de uso indevido, o que significa que os usuários que efetuaram pagamentos através do Paay nos últimos seis meses devem prestar mais atenção aos extratos bancários. Como você pode ver, as empresas geralmente não percebem que estão expondo informações confidenciais; portanto, mesmo que você não seja afetado pelo vazamento de dados de Paay, você ainda deve verificar seu saldo regularmente e relatar imediatamente qualquer atividade fraudulenta.