Firma Paay, ktorá procesuje platby kreditnými kartami, ponechala 3 týždne voľne prístupnú databázu s platbami

Credit cards

Zdroj: TechCrunch

Firma Paay sídli v meste New York a procesuje platby kreditnými kartami pre predajcov. Je ironické, že práve ich služba by mala chrániť predajcov pred podvodnými nákupmi. Namiesto toho ponechala firma databázu s miliónmi transakcií voľne dostupnú na internete.

Databázu našiel bezpečnostný výskumník Anurag Sen a podľa všetkého bola voľne dostupná viac ako tri týždne. Podľa jeho odhadov bolo v databáze viac ako 2,5 milióna transakcií kreditnými kartami.

Spoluzakladateľ firmy Paay Yitz Mendlowitz sa vyjadril, že k chybe došlo 3.apríla. Vtedy spustili novú inštanciu služby, ktorá by mala byť v blízkej budúcnosti pozastavená. Kvôli chybe bola databáza nezabezpečená.

V databáze sa nachádzali transakcie od septembra 2019. Transakcie boli od rôznych predajcov. V databáze boli plné čísla kreditných kariet, exspirácie kariet a zaplatená suma. Dáta našťastie neobsahovali mená vlastníkov kariet ani verifikačné kódy, takže okamžité zneužitie by bolo náročné.

Čo nie je veľmi povzbudzujúce je, že Yitz Mendlowitz tvrdil, že neukladajú čísla kreditných kariet, lebo ich nepotrebujú. Keď mu TechCrunch poslal ukážku z databázy, tak na to už nereagoval.

Za ohrozenie bezpečnosti kreditných kariet a ich vlastníkov udeľujeme firme Paay náš titul fail týždňa. Za špeciálnu zmienku stojí, že spolumajiteľ nevie alebo sa tvári, že nevie o ukladaní čísel kreditných kariet do databázy. Na záver pripomienka, že cloud je len počítač niekoho iného.

Obrázok: „U.S. Chip-enabled Payment Cards“ by Aranami, used under CC BY 2.0

Facebook
Twitter
LinkedIn
Pinterest

ĎALŠIE ČLÁNKY, KTORÉ BY ŤA MOHLI ZAUJÍMAŤ