Un procesador de pagos poco conocido, que se anuncia a sí mismo como una compañía amigable para los cristianos que "no procesa transacciones de tarjetas de crédito para negocios moralmente objetables", dejó en línea una base de datos que contiene transacciones de pagos de clientes por valor de años.
La base de datos contenía 6,7 millones de registros desde 2013, y se actualizaba día a día. Pero la base de datos no estaba protegida con una contraseña, lo que permitía a cualquiera mirar dentro.
El investigador de seguridad Anurag Sen encontró la base de datos. TechCrunch identificó a su propietario como Cornerstone Payment Systems, que proporciona procesamiento de pagos a ministerios, organizaciones sin fines de lucro y otras empresas moralmente alineadas en los Estados Unidos, incluidas iglesias, personalidades de radio religiosas y grupos pro-vida.
Los procesadores de pagos manejan las transacciones con tarjeta de crédito y débito en nombre de una empresa.
Una revisión de una parte de la base de datos mostró que cada registro contenía nombres de beneficiarios, direcciones de correo electrónico y, en muchos casos, pero no todos, direcciones postales. Cada registro también tenía el nombre del comerciante que se estaba pagando, el tipo de tarjeta, los últimos cuatro dígitos del número de tarjeta y su fecha de vencimiento.
Los datos también contenían fechas y horas específicas de la transacción. Cada registro también indicó si un pago fue exitoso o si fue rechazado. Algunos de los registros también contenían notas del cliente, que a menudo describían para qué era el pago, como una donación o una conmemoración.
Aunque hubo alguna evidencia de tokenización, una forma de reemplazar información confidencial con una cadena única de letras y números, la base de datos en sí no estaba encriptada.
Utilizamos algunas de las direcciones de correo electrónico para contactar a varios clientes afectados. Dos personas cuyos nombres y transacciones se encontraron en la base de datos confirmaron que su información era precisa.
Después de que TechCrunch se contactó con Cornerstone, la compañía desconectó la base de datos.
"Cornerstone Payment Systems ha asegurado todo el acceso al servidor", dijo el portavoz Tony Adamo.
“Es vital tener en cuenta que Cornerstone Payment Systems no almacena datos completos de tarjetas de crédito ni verifica datos. Hemos implementado medidas de seguridad mejoradas que bloquean todas las URL. Actualmente estamos revisando todos los registros para cualquier acceso potencial ”, agregó.
Cornerstone no dijo si informará a los reguladores estatales del lapso de seguridad, lo que debe hacer bajo las leyes de notificación de violación de datos del estado de California.
Lee mas: