Paay выставил миллионы транзакций по кредитным картам. Что должны делать пользователи?
Интернет-провайдеры просто не могут идти в ногу с большими объемами данных, которые им нужно обрабатывать. Ошибки конфигурации слишком распространены, и они приводят к раскрытию информации на ежедневной основе. Исследователи в области безопасности проводят большую часть своих дней в поисках открытых баз данных, в которых хранятся личные данные, и некоторые из их открытий гораздо более смущают, чем другие. Например, когда Anurag Sen, эксперт по безопасности, обнаружил около 2,5 миллионов записей, размещенных на сервере, доступном из любой точки мира и не защищенном паролем, он знал, что для защиты данных необходимо предпринять немедленные действия.
База данных принадлежала Paay, обработчику платежей, и за 2,5 миллионами записей было проведено 2,5 миллиона транзакций по кредитным картам. Сен связался с Заком Уиттакером из TechCrunch, который подтвердил источник данных и сообщил, что в результате утечки были открыты незашифрованные номера кредитных карт, даты истечения срока действия и сумма, потраченная во время каждой транзакции.
Еще одна онлайн-компания неверно конфигурирует свою базу данных и пропускает информацию
Уиттакер связался с Паей, уведомил их о нарушении и спросил, что именно произошло. Иц Мендловиц, один из соучредителей платежного процессора, сказал Уиттакеру, что ИТ-команда Paay установила сервер 3 апреля, когда они были в центре устаревших сервисов, предлагаемых платформой. Из-за «ошибки» информация о транзакциях, датированных 1 сентября 2019 года, осталась без пароля. Вскоре после получения уведомления Paay защитил данные, но к тому времени, когда он узнал об этом, он уже был в сети в течение почти трех недель, что является ужасным количеством времени в наше время.
Не должно быть никаких утешений, что Paay далеко не единственный поставщик услуг, у которого произошла утечка данных из-за ошибки конфигурации. Фактически, вы можете утверждать, что вместо организации изощренных атак на конкретные цели, киберпреступникам, которые хотят получить некоторую конфиденциальную информацию, гораздо лучше запустить одну из специализированных поисковых систем, которая может идентифицировать плохо настроенные базы данных. Но какой ущерб они могли нанести утечке информации Paay?
Диапазон пропущенных данных был ограничен
Сначала Пэй пытался отрицать наличие полных, незашифрованных номеров кредитных карт в просочившейся базе данных. Изначально Иц Мендловиц сказал, что платформа не хранит номера карт, потому что она «бесполезна для них». Однако, когда Зак Уиттакер представил доказательства того, что номера карт фактически были утечки, Мендловиц не ответил.
Наличие полных номеров карт, безусловно, вызывает беспокойство, но факт в том, что такие детали, как имя владельца карты и код CVV, отсутствуют, что означает, что мошенникам, вооруженным данными, было бы трудно обрабатывать любые мошеннические транзакции.
Тем не менее, пострадавшие люди должны быть немного осторожнее. Некоторые эмитенты карт не заменяют кредитную карту без каких-либо признаков злоупотребления, а это означает, что пользователи, осуществившие платежи через Paay в течение последних шести месяцев, должны уделять больше внимания своим банковским выпискам. Как вы можете видеть, компании часто не осознают, что раскрывают конфиденциальную информацию, поэтому даже если вы не затронуты утечкой данных Paay, вам все равно следует регулярно проверять баланс и немедленно сообщать о любых мошеннических действиях.