Paay menyediakan database online keamanan informasi kartu kredit

• Hampir terungkap 2.5 Jutaan transaksi kartu kredit untuk 20 merchant online.
• Basis data yang tidak dilindungi telah menjadi tanpa kata sandi selama sekitar tiga minggu.
• Perusahaan yang bertanggung jawab atas gangguan keamanan membantah bahwa sistemnya memiliki nomor kartu kredit, tetapi sampel data mengatakan sebaliknya.

Penyedia solusi pembayaran seluler yang berbasis di New York bernama “Paay” membuat kesalahan fatal dengan membiarkan basis datanya online tanpa perlindungan kata sandi. Data yang ditemukan mencakup sekitar 2,5 Juta item item yang terkait dengan transaksi kartu kredit sejak 1 September 2019. Setiap catatan berisi nomor kartu kredit dalam teks biasa, tanggal kedaluwarsa, dan jumlah transaksi. Selain itu, ada salinan parsial yang meyakinkan dari setiap nomor kartu kredit, tetapi untungnya, nama pemegang kartu dan kode CVV tidak disimpan dalam database yang ditampilkan.

Ini akan mempersulit peretas untuk menjual data ke scammers, tetapi data terbuka tidak ada gunanya. Penemuan database adalah karya peneliti keamanan Anurag Sen, dan menurut pengakuan resmi berikutnya, informasi tersebut tetap terbuka dan tersedia selama tiga minggu. Pendiri Paay Yitz Mendlowitz menjelaskan bahwa kesalahan 3 Pada April 2020, ini terjadi saat membuat instance baru Elasticsearch untuk layanan yang dijeda. Tim IT Paay lupa menyetel kata sandi untuk database baru dan tidak ada yang menyadari masalah tersebut dalam tiga minggu ini.

Juru bicara menjelaskan bahwa mereka tidak menyimpan nomor kartu karena mereka tidak menggunakannya untuk mereka, jadi dia keberatan dengan tuduhan yang disebutkan di atas. tetapi TechCrunch, Ai datang untuk memverifikasi informasi itu sendiri setelah Anurag Sen membagikan nomor kepada mereka, mereka mengkonfirmasi bahwa ada nomor kartu kredit di sana. Tetapi penolakan mereka untuk menyimpan data semacam ini tidak berakhir. Paay saat ini bekerja dengan akuntan forensik untuk menentukan ukuran, tingkat dan tingkat kerusakan. Sampai saat ini, tampaknya hampir dua puluh dealer telah terkena dampak kecelakaan ini, sehingga mereka dihubungi oleh perusahaan untuk mengambil tindakan yang tepat.

Sumber: TechCrunch

Paay menawarkan layanan yang dirancang untuk menjaga pedagang aman dari penipuan dan menyediakan penghentian pengisian saat pengisian melalui EMV 3DS. Di UE, Paay PSD2 digunakan untuk memfasilitasi otentikasi pelanggan dan verifikasi pemegang kartu. Kejadian ini menunjukkan bahwa bahkan penyedia solusi teknologi canggih pun dapat melakukan kesalahan dengan cara yang paling sederhana, yaitu membiarkan database online tanpa perlindungan kata sandi. Adapun pedagang yang terkena dampak, mereka sekarang akan dikenakan masalah dan fitnah yang dihasilkan dari memberi tahu pelanggan mereka tentang pelanggaran data yang disebabkan oleh salah satu mitra mereka.