Paay exponerade miljontals kreditkorttransaktioner. Vad ska användare göra?
Tjänsteleverantörer på nätet kan helt enkelt inte hålla jämna steg med de stora mängder data de behöver för att bearbeta. Konfigurationsfel är alltför vanliga och de leder till att information exponeras dagligen. Säkerhetsforskare tillbringar större delen av sina dagar på att leta efter öppna databaser som innehåller personuppgifter, och några av deras upptäckter är mycket mer oroande än andra. När till exempel Anurag Sen, en säkerhetsekspert, hittade cirka 2,5 miljoner poster som var värda på en server som var tillgänglig från var som helst i världen och inte var skyddad av ett lösenord, visste han att omedelbara åtgärder måste vidtas för att säkra uppgifterna.
Databasen tillhörde Paay, en betalningsprocessor, och bakom 2,5 miljoner poster fanns 2,5 miljoner kreditkortstransaktioner. Sen kom i kontakt med TechCrunchs Zack Whittaker, som bekräftade källan till uppgifterna och sa att läckan avslöjade klientkortsnummer, utgångsdatum och det belopp som spenderades under varje transaktion.
Ännu ett onlineföretag konfigurerar sin databas felaktigt och läcker information
Whittaker kontaktade Paay, meddelade dem om överträdelsen och frågade vad som hade hänt exakt. Yitz Mendlowitz, en av grundarna till betalningsprocessorn, berättade för Whittaker att Paays IT-team satte upp servern den 3 april när de var i mitten av att avskriva en av tjänsterna som plattformen erbjuder. På grund av "ett fel" lämnades information om transaktioner från 1 september 2019 utan lösenord. Strax efter det att det fick meddelandet, säkrade Paay uppgifterna, men när det fick veta om det hade de redan varit online i nära tre veckor, vilket är en väldigt mycket tid på denna dag och ålder.
Det borde inte vara någon tröst att Paay är långt ifrån den enda tjänsteleverantören som har läckt data på grund av ett konfigurationsfel. I själva verket kan du hävda att istället för att organisera sofistikerade attacker mot specifika mål, är de cyberbrottslingar som vill ta hand om lite känslig information mycket bättre på att skjuta upp en av de specialiserade sökmotorerna som kan identifiera dåligt konfigurerade databaser. Men vilken typ av skada kunde de ha gjort med den information som Paay läckte ut?
Räckvidden för de läckta uppgifterna var begränsad
Först försökte Paay förneka närvaron av fullständiga kreditkortsnummer i den läckta databasen. Yitz Mendlowitz sa inledningsvis att plattformen inte lagrar kortnummer eftersom den inte "har någon nytta för dem." När Zack Whittaker presenterade bevis för att kortnumren faktiskt var läckta lyckades Mendlowitz dock inte svara.
Förekomsten av fulla kortnummer är definitivt oroande, men faktum är att detaljer som kortinnehavarens namn och CVV-kod saknas, vilket innebär att skurkar beväpnade med uppgifterna skulle ha haft svårt att bearbeta eventuella bedrägliga transaktioner.
Trots det måste drabbade människor vara lite mer försiktiga. Vissa kortutgivare kommer inte att ersätta kreditkortet utan bevis på missbruk, vilket innebär att användare som har gjort betalningar via Paay under de senaste sex månaderna måste vara noggrannare med sina kontoutdrag. Som ni kan se, förstår inte företag ofta att de utsätter känslig information, så även om du inte påverkas av Paays dataläckage, bör du fortfarande kontrollera ditt saldo regelbundet och rapportera om bedräglig verksamhet omedelbart.