据外媒TechCrunch报道,一个存储着数百万张信用卡交易信息的庞大数据库,在公开暴露在互联网上近三周后,已经被保护起来。该数据库属于Paay公司,这是一家位于纽约的信用卡支付处理商。与其他支付处理商一样,该公司代表销售商户(如网店和其他企业)验证支付,以防止欺诈性交易。
但由于服务器上没有密码,任何人都可以访问里面的数据。
安全研究人员Anurag Sen发现了这个数据库。他告诉TechCrunch,他估计数据库中大约有250万条银行卡交易记录。在TechCrunch代表他联系了该公司后,数据库被下线。"4月3日,我们在一个服务上调出了一个新的实例,目前我们正在废止这个服务。"Paay联合创始人Yitz Mendlowitz说。"发生了一个错误,导致该数据库在没有密码的情况下被曝光。"
该数据库中包含了一些商户的每日刷卡记录,时间可追溯至2019年9月1日。TechCrunch查看了部分数据。每笔交易都包含了完整的明文信用卡号码、到期日和消费金额。这些记录还包含了每个信用卡号码的部分掩盖副本。这些数据不包括持卡人的姓名或卡片验证值,这使得信用卡更难被用来进行诈骗。
Mendlowitz 对这一调查结果提出了质疑。"我们不存储卡号,因为我们没有用处。" TechCrunch向他发送了部分显示卡号明文的数据,但他没有回应后续报道。
这是今年以来第三家承认安全漏洞的支付处理商。今年1月,Sen发现另一家支付处理商的数据库遭曝光,其中存储着670万条记录。本月早些时候,另一名研究人员发现两家支付法院罚款和水电费的支付网站也留下了几个月的缓存数据暴露。
Mendlowitz表示,该公司正在通知15到20家商户,并表示该公司已经聘请了一位专家来了解安全漏洞的范围。