Paay cung cấp một cơ sở dữ liệu trực tuyến về bảo mật thông tin thẻ tín dụng

  • Hầu như tiết lộ 2.5 Hàng triệu giao dịch thẻ tín dụng cho 20 thương nhân trực tuyến.
  • Cơ sở dữ liệu không được bảo vệ đã không có sẵn mật khẩu trong khoảng ba tuần.
  • Công ty chịu trách nhiệm phân tách an ninh phủ nhận rằng hệ thống của họ có số thẻ tín dụng, nhưng các mẫu dữ liệu lại nói khác.

Một nhà cung cấp giải pháp thanh toán di động có trụ sở tại New York có tên "Paay" đã phạm sai lầm nghiêm trọng khi để lại cơ sở dữ liệu trực tuyến mà không có mật khẩu bảo vệ. Dữ liệu được phát hiện bao gồm khoảng 2.5 Hàng triệu mặt hàng liên quan đến giao dịch thẻ tín dụng trở lại 1 Tháng 9 năm 2019. Mỗi hồ sơ chứa một số thẻ tín dụng bằng văn bản thuần túy, ngày hết hạn và số tiền giao dịch. Ngoài ra, có một bản sao thuyết phục một phần của mỗi số thẻ tín dụng, nhưng may mắn thay, tên và mã CVV của chủ thẻ không được lưu trữ trong cơ sở dữ liệu được hiển thị.

Điều này sẽ gây khó khăn cho tin tặc bán dữ liệu cho những kẻ lừa đảo, nhưng dữ liệu mở thì không có ích gì. Việc phát hiện ra cơ sở dữ liệu là công việc của nhà nghiên cứu bảo mật Anurag Sen, và theo sự công nhận chính thức sau đó, thông tin vẫn mở và có sẵn trong ba tuần. Người sáng lập Paay Yitz Mendlowitz giải thích rằng lỗi xảy ra 3 Vào tháng 4 năm 2020, điều này đã xảy ra trong khi tạo ra một phiên bản mới của Elaticsearch cho một dịch vụ bị tạm dừng. Nhóm CNTT Paay quên đặt mật khẩu cho cơ sở dữ liệu mới và không ai nhận thấy vấn đề trong vòng ba tuần hiện tại.

Người phát ngôn giải thích rằng họ không lưu trữ số thẻ vì họ không sử dụng chúng cho họ, vì vậy ông đã phản đối các khoản phí nêu trên. nhưng TechCrunch, Ai đến để tự xác minh thông tin sau khi Anurag Sen chia sẻ một số với họ, họ xác nhận rằng có số thẻ tín dụng ở đó. Nhưng việc họ từ chối lưu trữ loại dữ liệu này không kết thúc. Paay hiện đang làm việc với một kế toán pháp y để xác định quy mô, mức độ và mức độ thiệt hại. Cho đến nay, có vẻ như gần hai mươi đại lý đã bị ảnh hưởng bởi vụ tai nạn này, vì vậy họ được công ty liên hệ để có hành động thích hợp.

Nguồn: TechCrunch

Paay cung cấp các dịch vụ được thiết kế để giúp các thương nhân an toàn khỏi gian lận và cung cấp việc chấm dứt tính phí khi tính phí qua EMV 3DS. Tại EU, Paay PSD2 được sử dụng để tạo điều kiện xác thực khách hàng và xác minh chủ thẻ. Sự cố này cho thấy ngay cả các nhà cung cấp giải pháp công nghệ tiên tiến cũng có thể gặp trục trặc theo cách đơn giản nhất, đó là để cơ sở dữ liệu trực tuyến mà không cần bảo vệ mật khẩu. Đối với các thương nhân bị ảnh hưởng, giờ họ sẽ phải chịu các vấn đề và vu khống xuất phát từ việc thông báo cho khách hàng của họ về việc vi phạm dữ liệu do một trong các đối tác của họ gây ra.