Se ha asegurado una base de datos masiva que almacena millones de transacciones con tarjeta de crédito después de pasar cerca de tres semanas expuesto públicamente a Internet.
La base de datos pertenece a Paay, un procesador de pagos con tarjeta con sede en Nueva York. Al igual que otros procesadores de pagos, la compañía verifica los pagos en nombre de vendedores que venden, como tiendas en línea y otras empresas, para evitar transacciones fraudulentas.
Pero debido a que no había contraseña en el servidor, cualquiera podía acceder a los datos que contenía.
Investigador de seguridad Anurag Sen Encontré la base de datos. Le dijo a TechCrunch que estima que hay alrededor de 2.5 millones de registros de transacciones de tarjetas en la base de datos. Después de que TechCrunch contactó a la compañía en su nombre, la base de datos fue desconectada.
"El 3 de abril, creamos una nueva instancia en un servicio que actualmente estamos en proceso de desaprobación", dijo el cofundador de Paay, Yitz Mendlowitz. "Se cometió un error que dejó esa base de datos expuesta sin contraseña".
Dos registros de la base de datos expuesta. TechCrunch ha bloqueado el número completo de la tarjeta de crédito en el registro para evitar fraudes.
La base de datos contenía registros diarios de transacciones con tarjetas que datan del 1 de septiembre de 2019 de varios comerciantes. TechCrunch revisó una parte de los datos. Cada transacción contenía el número completo de la tarjeta de crédito de texto sin formato, la fecha de vencimiento y el monto gastado. Los registros también contenían una copia parcialmente enmascarada de cada número de tarjeta de crédito. Los datos no incluían nombres de titulares de tarjetas o valores de verificación de tarjetas, lo que dificultaba el uso de la tarjeta de crédito para fraude.
Mendlowitz disputó los hallazgos. "No almacenamos números de tarjeta, ya que no los usamos". TechCrunch le envió una parte de los datos que muestran los números de tarjeta en texto sin formato, pero no respondió a nuestro seguimiento.
Es el tercer procesador de pagos de este año en admitir un lapso de seguridad. En enero, Sen encontró otro procesador de pagos con una base de datos expuesta almacenar 6.7 millones de registros. A principios de este mes, otro investigador encontró dos sitios de pago por pagar multas judiciales y servicios públicos también dejó un caché de datos expuestos durante varios meses.
Mendlowitz dijo que la compañía estaba informando a entre 15 y 20 comerciantes, y que la compañía ha contratado a un auditor forense no identificado para comprender el alcance del lapso de seguridad.