《親愛的數據》出品
講真,如果安全問題解決不了就別創業了,會害人的知道麼?
據科技媒體techcrunch報道一個存儲數百萬信用卡交易的大型數據庫,在被公開暴露在互聯網上近三週後得到了處理。該數據庫屬於Paay,一家位於紐約的信用卡支付處理公司。與其他支付處理公司一樣,該公司代表商戶驗證付款,以防止欺詐交易。
《親愛的數據》出品
安全專家Anurag Sen發現了一個數據庫。因為服務器上沒有密碼,任何人都可以訪問裡面的數據。該數據庫包含了2019年9月1日以來許多商家的每日銀行卡交易記錄。
他告訴媒體TechCrunch,他估計數據庫中大約有250萬張銀行卡交易記錄。在TechCrunch代表他聯繫了這家公司之後,這個數據庫就被下線了。
Paay的聯合創始人門德羅維茨(Yitz Mendlowitz)說:
“4月3日,我們推出了一個新的服務,而我們目前正在棄用它。出現了一個錯誤,導致數據庫在沒有密碼的情況下暴露出來。”
《親愛的數據》出品
科技媒體TechCrunch審查了部分數據。每筆交易都包含完整的明文信用卡卡號、到期日和金額。注意是明文哦。
這些記錄還包含每個信用卡號碼的部分掩碼副本,這些數據不包括持卡人姓名或卡的驗證值。
《親愛的數據》出品
Paay的聯合創始人門德羅維茨對這些發現提出了質疑。
“我們不存儲卡號,因為我們不需要它們。
然而,TechCrunch向他發送了一份以明文形式顯示卡號的數據,但他沒有回應媒體的後續調查。也不知道是不是一種默認。
《親愛的數據》出品
都說我們不存客戶的數據,我們對客戶的數據負責,等到出事的時候,個人用戶能怎麼樣呢?
這可能將是2020年第三家承認存在安全漏洞的支付處理器。2020年才走過了第一個季度。
創始人門德羅維茨表示,公司正在通知15至20家商戶,公司已經聘請了一名未透露姓名的審計人員,以瞭解安全漏洞的範圍。
安全專家Anurag Sen不是第一次為數據安全“見義勇為”了,一個包含大約76,000個唯一指紋記錄的Web服務器被暴露在互聯網上。巴西公司Antheus Tecnologia收集了不安全的指紋數據以及員工的電子郵件地址和電話號碼。
該數據庫包含近230萬個數據點,其中大多數是服務器訪問日誌,現在已受到保護。指紋數據被存儲為二進制數據流,該二進制數據流是一串1和0。惡意的人可能能夠將這些數據轉換成指紋的生物特徵圖像。
指紋數據怎麼能丟,因為一人一輩子只有一套指紋呀。
巴西公司Antheus Tecnologia在星期四的一份聲明中說,指紋不是來自客戶的,並補充說暴露的信息是它用於測試的公開可用數據。
該公司一位發言人在一份聲明中說:“該服務器上沒有敏感數據。”
《親愛的數據》出品
(完)
《親愛的數據》出品
《親愛的數據》出品
