Удобный для христиан платежный процессор выложил в интернет 6 миллионов записей транзакций

Малоизвестный обработчик платежей, который позиционирует себя как дружественная христианам компания, которая «не обрабатывает транзакции по кредитным картам для морально нежелательных предприятий», оставил базу данных, содержащую данные о платежных транзакциях клиентов в течение многих лет.

База данных содержала 6,7 миллиона записей с 2013 года и обновлялась с каждым днем. Но база данных не была защищена паролем, что позволило любому заглянуть внутрь.

Исследователь безопасности Анураг Сен нашел базу данных. TechCrunch идентифицировал своего владельца как Cornerstone Payment Systems, который обеспечивает обработку платежей министерствам, некоммерческим организациям и другим морально настроенным предприятиям в США, включая церкви, религиозных деятелей радио и группы, выступающие за жизнь.

Платежные системы обрабатывают транзакции по кредитным и дебетовым картам от имени бизнеса.

Проверка части базы данных показала, что каждая запись содержала имена получателей, адреса электронной почты и во многих, но не во всех случаях, почтовые адреса. У каждой записи также было имя продавца, которому платят, тип карты, последние четыре цифры номера карты и дата ее истечения.

Данные также содержали конкретные даты и время транзакции. В каждой записи также указывалось, был ли платеж успешным или был отклонен. Некоторые из записей также содержали заметки от клиента, часто описывающие, за что был сделан платеж – например, пожертвование или поминовение.

Хотя имелись некоторые признаки токенизации – способа замены конфиденциальной информации уникальной строкой букв и цифр – сама база данных не была зашифрована.

Мы использовали некоторые адреса электронной почты для связи с несколькими пострадавшими клиентами. Два человека, чьи имена и транзакции были найдены в базе данных, подтвердили, что их информация была точной.

После того, как TechCrunch связался с Cornerstone, компания отключила базу данных.

«Платежные системы Cornerstone обеспечили доступ ко всем серверам, – сказал Тони Адамо.

«Важно отметить, что Cornerstone Payment Systems не хранит полные данные кредитной карты или данные чеков. Мы ввели усиленные меры безопасности, блокирующие все URL. В настоящее время мы проверяем все журналы на предмет возможного доступа », – добавил он.

Cornerstone не сообщила, будет ли она информировать регулирующие органы штата об ошибке безопасности, что требуется в соответствии с законами штата Калифорния об уведомлении о нарушении данных.

Подробнее:


Добавить комментарий