الأخبار التكنولوجية والاستعراضات والنصائح!
Blogs4

تركت "Paay" قاعدة بيانات غير محمية على الإنترنت تحتوي على تفاصيل بطاقة الائتمان

  • تم كشف ما يقرب من 2.5 مليون معاملة بطاقة ائتمان تخص 20 تجارًا عبر الإنترنت.
  • تم ترك قاعدة البيانات غير المحمية متاحة بدون كلمة مرور لمدة ثلاثة أسابيع تقريبًا.
  • تنكر الشركة المسؤولة عن الفاصل الأمني ​​أن نظامها يحمل أرقام بطاقات الائتمان ، لكن عينات البيانات تقول خلاف ذلك.

ارتكب موفر حلول الدفع عبر الهاتف المحمول ومقره في نيويورك يسمى "Paay" خطأ فادحًا من خلال ترك قاعدة بيانات عبر الإنترنت بدون حماية بكلمة مرور. تتضمن البيانات التي تم الكشف عنها ما يقرب من 2.5 مليون سجل تتعلق بمعاملات بطاقات الائتمان التي يرجع تاريخها إلى 1 سبتمبر 2019. يحتوي كل سجل على رقم بطاقة الائتمان في شكل نص عادي ، وتاريخ انتهاء الصلاحية ، ومبلغ المعاملة. علاوة على ذلك ، كانت هناك نسخة مقنعة جزئيًا لكل رقم بطاقة ائتمان ، ولكن لحسن الحظ ، لم يتم تخزين أسماء حامل البطاقة ورموز CVV في قاعدة البيانات المكشوفة.

هذا سيجعل من الصعب على المتسللين بيع البيانات إلى المحتالين ، ولكن البيانات المكشوفة بعيدة عن اعتبارها عديمة الفائدة. كان اكتشاف قاعدة البيانات من عمل الباحث الأمني ​​Anurag Sen ، ووفقًا للاعتراف الرسمي الذي أعقب ذلك ، ظلت المعلومات مكشوفة ويمكن الوصول إليها لمدة ثلاثة أسابيع. أوضح مؤسس Paay Yitz Mendlowitz أن الخطأ حدث في 3 أبريل 2020 ، وحدث أثناء إنشاء نسخة جديدة من Elasticsearch لخدمة يقومون بعملية الإيقاف. نسي فريق تكنولوجيا المعلومات في Paay إعداد كلمة مرور لقاعدة البيانات الجديدة ، ولم يلاحظ أحد المشكلة خلال الأسابيع الثلاثة الموجودة.

وأوضح المتحدث أنهم لا يقومون بتخزين أرقام البطاقات لأنهم لا يستخدمونها لهم ، لذلك اعترض على الادعاءات المذكورة أعلاه. ومع ذلك، تك كرانش، الذين وصلوا للتحقق من البيانات بأنفسهم بعد مشاركة Anurag Sen جزءًا معهم ، أكدوا أن هناك أرقام بطاقات ائتمان هناك. ومع ذلك ، فإن رفضهم تخزين هذا النوع من البيانات لا يقف. تعمل Paay حاليًا مع مدقق للطب الشرعي لتحديد مقدار الضرر ونطاقه ومداه. حتى الآن ، يبدو أن ما يقرب من عشرين تاجرًا قد تضرروا من هذا الحادث ، لذلك يتم الاتصال بهم من قبل الشركة لاتخاذ الإجراء المناسب.

paay-elasticsearch-database "width =" 696 "height =" 328 "data-srcset =" https://cdn.technadu.com/wp-content/uploads/2020/04/paay-elasticsearch-database-1024x483.jpg 1024 واط ، https://cdn.technadu.com/wp-content/uploads/2020/04/paay-elasticsearch-database-300x142.jpg 300w ، https://cdn.technadu.com/wp-content/uploads/2020 /04/paay-elasticsearch-database-768x363.jpg 768w، https://cdn.technadu.com/wp-content/uploads/2020/04/paay-elasticsearch-database-200x94.jpg 200w، https: // cdn .technadu.com / wp-content / uploads / 2020/04 / paay-elasticsearch-database-696x329.jpg 696w، https://cdn.technadu.com/wp-content/uploads/2020/04/paay-elasticsearch- database-1068x504.jpg 1068w، https://cdn.technadu.com/wp-content/uploads/2020/04/paay-elasticsearch-database-890x420.jpg 890w، https://cdn.technadu.com/wp- content / uploads / 2020/04 / paay-elasticsearch-database.jpg 1536w "أحجام =" (الحد الأقصى للعرض: 696 بكسل) 100 فولت / 696 بكسلالمصدر: TechCrunch

تقدم Paay خدمات تهدف إلى مساعدة التجار على البقاء محميين من الاحتيال ، مما يوفر إيقاف المسؤولية عن إعادة الشحن عبر بروتوكول الأمان العالمي EMV 3DS. في الاتحاد الأوروبي ، تستخدم Paay PSD2 لتسهيل مصادقة العملاء والتحقق من حاملي البطاقات. يثبت هذا الحادث أنه حتى مقدمي حلول التقنية المتقدمة يمكن أن يخطئون بأبسط الطرق ، وهو ترك قاعدة بيانات عبر الإنترنت دون حماية بكلمة مرور. أما بالنسبة للتجار المتضررين ، فسيضطرون الآن إلى تحمل المشاكل والتشهير الناتج عن إبلاغ عملائهم بخرق البيانات الذي تسبب فيه أحد شركائهم.

نحن نوصيك: