La startup de paiement de New York a dévoilé des millions de numéros de cartes de crédit

Une énorme base de données stockant des millions de transactions par carte de crédit a été sécurisée après avoir passé près de trois semaines exposée publiquement à Internet.

La base de données appartient à Paay, un processeur de paiement par carte basé à New York. Comme les autres processeurs de paiement, la société vérifie les paiements au nom des marchands vendeurs, comme les magasins en ligne et d’autres entreprises, pour empêcher les transactions frauduleuses.

Mais comme il n’y avait pas de mot de passe sur le serveur, n’importe qui pouvait accéder aux données à l’intérieur.

Chercheur en sécurité Anurag Sen trouvé la base de données. Il a déclaré à TechCrunch qu’il estime qu’il y a environ 2,5 millions d’enregistrements de transactions par carte dans la base de données. Après que TechCrunch ait contacté l’entreprise en son nom, la base de données a été mise hors ligne.

« Le 3 avril, nous avons créé une nouvelle instance sur un service que nous sommes en train de déprécier », a déclaré le co-fondateur de Payy, Yitz Mendlowitz. « Une erreur a été commise qui a laissé cette base de données exposée sans mot de passe. »

Deux enregistrements de la base de données exposée. TechCrunch a masqué le numéro de carte de crédit complet dans le dossier pour éviter la fraude.

La base de données contenait des enregistrements quotidiens des transactions par carte remontant au 1er septembre 2019 d’un certain nombre de commerçants. TechCrunch a examiné une partie des données. Chaque transaction contenait le numéro de carte de crédit en clair, la date d’expiration et le montant dépensé. Les dossiers contenaient également une copie partiellement masquée de chaque numéro de carte de crédit. Les données n’incluaient pas les noms des titulaires de carte ni les valeurs de vérification de la carte, ce qui rend plus difficile l’utilisation de la carte de crédit pour fraude.

Mendlowitz a contesté les conclusions. « Nous ne stockons pas les numéros de carte, car nous ne les utilisons pas. » TechCrunch lui a envoyé une partie des données montrant les numéros de carte en clair, mais il n’a pas répondu à notre suivi.

Il s’agit du troisième processeur de paiements cette année à admettre une défaillance de sécurité. En janvier, Sen a trouvé un autre processeur de paiement avec une base de données exposée stockant 6,7 millions d’enregistrements. Plus tôt ce mois-ci, un autre chercheur a découvert que deux sites de paiement pour payer des amendes et des services publics avaient également laissé une cache de données exposées pendant plusieurs mois.

Mendlowitz a déclaré que la société informait entre 15 et 20 commerçants et qu’elle avait engagé un auditeur judiciaire anonyme pour comprendre l’étendue de la faille de sécurité.

Un fournisseur de paiements pour payer des amendes et des factures de services publics a révélé des années de transactions



Traduit de l’anglais de https://techcrunch.com/2020/04/22/paay-unencrypted-credit-card-data/

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.