Процессор платежей, используемых органами местного самоуправления по сбору судебных штрафов и коммунальных платежей от населения через Арканзас и Оклахома по ошибке кэш данных, представляющих лет сделок, выставили на своем сайте.
Исследователь безопасности Ашот Оганесян нашли кэш файлы базы данных в публичных и незащищенных веб-каталог на сайте платежной системы nCourt, который работает в двух платежных сайтов courtpay.org и utilitypay.org. Каталог, содержащий файлы резервных копий базы данных хранить не менее трех лет на сумму сделки до ноября 2019 года.
Каталог будет находиться в контакте в течение как минимум пяти месяцев, по данным BinaryEdge, которая сканирует интернет для открытых систем и баз данных.
Оганесян сообщил экспозиции к процессору платежей, и открытая директория была закрыта в понедельник.
Но в TechCrunch узнали во вторник, что файлы базы данных были размещены на широко известный хакерский форум. Хотя мы не загружать данные с форума, для проводки, которая была опубликована до этого статья — указаны правильное количество записей в каждой базе данных, предполагая, что проводка является подлинной.
Ресурс TechCrunch проанализировал открытыми базами данных и нашли 79,000 транзакций на courtpay.org и 64,000 записей utilitypay.org. Мы проверили данные по перекрестным ссылкам имен и адресов в отношении публичных записей.
Обе базы данных содержат получателя наименование, почтовый адрес, адрес электронной почты и номер телефона. Каждая запись также содержит тип платежной карты, первые и последние четыре цифры номера карты получателя и срок действия карты.
Некоторые отчеты также содержали даты рождения и неполные номера банковского счета при использовании расчетного счета.
Хотя данные платежа была частично замаскирована, ни один из данных был зашифрован, несмотря на претензии на nCourt сайте, что “все данные, включая номер счета и срок действия, затемняется, так что данные не могут быть расшифрованы без соответствующей расшифровки ключей.”
При достижении главного сотрудника по информационным nCourt Терри Чисмены сказал, что компания “агрессивно собирают факты” о безопасности промежуток, который сказал, что он затронул “унаследованной системы” под названием GovPSA.
“Узнав старых данных GovPSA могут быть доступны, мы перенесли данные в автономном режиме”, - сказал он. “Мы также привлекаем сторонних судебно-медицинской экспертизы фирме, которая в настоящее время проводится судебно-медицинское исследование, чтобы проверить масштабы и влияние этого предполагаемого инцидента безопасности данных на устаревших данных GovPSA и как это произошло. Если мы подтверждаем, что нарушение имело место, мы будем оценивать правовые обязательства уведомления лиц, чьи персональные данные могут повлиять и уведомить всех пострадавших и регуляторов в соответствии с нашими юридическими обязательствами, чтобы сделать это”.
Но это оставляет его клиенты — в основном местные правительства и муниципалитеты — в темноте. Один из клиентов nCourt, город в штате Арканзас с населением около 30 000, сказал TechCrunch, что они еще не сообщили о прошествии безопасности.
Чисмены отказался от дальнейших комментариев, или ответов на наши вопросы — в том числе, почему данные не были зашифрованы.
Хакеров посадили кредитной карты вредоносные программы, крадущие на муниципальные сайты оплаты