Paay暴露了数百万笔信用卡交易。用户应该怎么做?
在线服务提供商根本无法跟上他们需要处理的大量数据。配置错误非常常见,并且每天都会导致信息泄露。安全研究人员大部分时间都在寻找用于保存个人数据的开放式数据库,而且他们的某些发现比其他发现令人不安。例如,当安全专家Anurag Sen发现服务器上托管的约250万条记录可从世界任何地方访问且不受密码保护时,他知道必须立即采取措施来保护数据。
该数据库属于付款处理机构Paay,在250万条记录的背后,有250万笔信用卡交易。森与TechCrunch的Zack Whittaker取得了联系,后者确认了数据来源,并说该漏洞暴露了明文信用卡号,有效期和每次交易的花费金额。
另一家在线公司错误地配置了数据库并泄漏了信息
惠特克(Whittaker)与帕伊(Paay)联系,并通知他们有关违约的情况,并询问发生了什么事。支付处理器的联合创始人之一Yitz Mendlowitz告诉Whittaker,Paay的IT团队于4月3日安装了服务器,当时他们正反对该平台提供的一项服务。由于“错误”,可追溯至2019年9月1日的交易信息都没有密码。在收到通知后不久,Paay便保护了数据,但到了解它时,它已经在线了将近三周,这在当今时代已经是非常漫长的时间。
因此,Paay绝不是唯一一个由于配置错误而导致数据泄漏的服务提供商,这并不令人感到安慰。实际上,您可能会说,想要组织一些敏感信息的网络罪犯可以对特定目标进行复杂的攻击,而不是启动一个可以识别配置不佳的数据库的专门搜索引擎,则要好得多。但是,对于Paay泄漏的信息,他们会造成什么样的损害?
泄漏数据的范围受到限制
最初,Paay试图否认泄漏数据库中存在完整的纯文本信用卡号。 Yitz Mendlowitz最初表示,该平台不存储卡号,因为它“没有用”。然而,当扎克·惠特克(Zack Whittaker)提供证据证明该卡号实际上已泄漏时,门德洛维茨(Mendlowitz)没有回应。
完整的卡号绝对令人担忧,但事实上,缺少诸如持卡人姓名和CVV代码之类的细节,这意味着拥有数据的骗子很难处理任何欺诈性交易。
但是,受影响的人必须多加小心。有些发卡机构不会在没有任何滥用迹象的情况下更换信用卡,这意味着在过去六个月中通过Paay付款的用户必须更加注意其银行对帐单。如您所见,公司通常不会意识到自己正在公开敏感信息,因此,即使您不受Paay数据泄漏的影响,您仍应定期检查余额并立即报告任何欺诈行为。