紐約支付初創公司不安全的數據庫暴露數百萬張信用卡信息
據外媒TechCrunch報導,一個存儲著數百萬張信用卡交易信息的龐大數據庫,在公開暴露在互聯網上近三週後,已經被保護起來。該數據庫屬於Paay公司,這是一家位於紐約的信用卡支付處理商。與其他支付處理商一樣,該公司代表銷售商戶(如網店和其他企業)驗證支付,以防止欺詐性交易。
但由於服務器上沒有密碼,任何人都可以訪問裡面的數據。
安全研究人員Anurag Sen發現了這個數據庫。他告訴TechCrunch,他估計數據庫中大約有250萬條銀行卡交易記錄。在TechCrunch代表他聯繫了該公司後,數據庫被下線。”4月3日,我們在一個服務上調出了一個新的實例,目前我們正在廢止這個服務。”Paay聯合創始人Yitz Mendlowitz說。”發生了一個錯誤,導致該數據庫在沒有密碼的情況下被曝光。”
該數據庫中包含了一些商戶的每日刷卡記錄,時間可追溯至2019年9月1日。TechCrunch查看了部分數據。每筆交易都包含了完整的明文信用卡號碼、到期日和消費金額。這些記錄還包含了每個信用卡號碼的部分掩蓋副本。這些數據不包括持卡人的姓名或卡片驗證值,這使得信用卡更難被用來進行詐騙。
Mendlowitz 對這一調查結果提出了質疑。”我們不存儲卡號,因為我們沒有用處。” TechCrunch向他發送了部分顯示卡號明文的數據,但他沒有回應後續報導。
這是今年以來第三家承認安全漏洞的支付處理商。今年1月,Sen發現另一家支付處理商的數據庫遭曝光,其中存儲著670萬條記錄。本月早些時候,另一名研究人員發現兩家支付法院罰款和水電費的支付網站也留下了幾個月的緩存數據暴露。
Mendlowitz表示,該公司正在通知15到20家商戶,並表示該公司已經聘請了一位專家來了解安全漏洞的範圍。