Χθες, κάποιοι ερευνητές της vpnMentor αποκάλυψαν ότι ένας μεγάλος αριθμός προσωπικών δεδομένων έχει διαρρεύσει στο διαδίκτυο. Οι προσωπικές πληροφορίες ανήκουν σε πελάτες της PayMyTab. Αιτία τη διαρροής φαίνεται πώς ήταν ένα μη προστατευμένο AWS bucket.
Οι ερευνητές ανακάλυψαν ότι πέρα από τα προσωπικά δεδομένα, διέρρευσαν και κάποια οικονομικά στοιχεία των πελατών.
Απ’ ότι φαίνεται, το PayMyTab δεν ακολούθησε τα πρωτόκολλα ασφαλείας της Amazon, με αποτέλεσμα να χρησιμοποιεί ένα μη προστατευμένο Amazon Web Services (AWS) S3 bucket.
Το άτομο που ενημέρωσε την vpnMentor για τη διαρροή, δεν έδωσε το όνομά του. Είπε, όμως, ότι το έκανε για να επιστήσει την προσοχή και να δείξει ότι οι εταιρείες πρέπει να προστατεύουν τις βάσεις δεδομένων τους και τα συστήματά τους. Διαφορετικά, οποιοσδήποτε θα μπορεί να αποκτήσει πρόσβαση σε αυτά, όπως τώρα.
Η PayMyTab συνεργάζεται με διάφορα εστιατόρια για την παροχή τερματικών για πληρωμές με κάρτες. Αυτές οι συσκευές συλλέγουν κάποια δεδομένα πελατών με σκοπό τη βελτίωση των υπηρεσιών. Ωστόσο, οι πληροφορίες αυτές διέρρευσαν στο διαδίκτυο.
Τα δεδομένα που διέρρευσαν είναι: ονόματα, διευθύνσεις email, αριθμοί τηλεφώνου, στοιχεία παραγγελιών, πληροφορίες που σχετίζονται με την επίσκεψη σε εστιατόρια και τα τέσσερα τελευταία ψηφία από τις κάρτες πληρωμής των πελατών.
Σύμφωνα με τους ερευνητές, τα δεδομένα ήταν εκτεθειμένα από τις 2 Ιουλίου 2018 μέχρι τον Νοέμβριο του 2019. Ακόμα δεν γνωρίζουμε τον ακριβή αριθμό των δεδομένων που διέρρευσαν αλλά οι ερευνητές εκτιμούν ότι επηρεάστηκαν περίπου 10.000 πελάτες.
Οι ερευνητές ενημερώθηκαν για το περιστατικό στις 18 Οκτωβρίου και επικοινώνησαν δύο φορές με την PayMyTab, στις 22 και στις 27 Οκτωβρίου.
“Ως ethical hackers, είμαστε υποχρεωμένοι να ενημερώσουμε μια εταιρεία όταν ανακαλύπτουμε ευπάθειες“, λένε οι ερευνητές. “Αυτό ισχύει ιδιαίτερα στις περιπτώσεις που η παραβίαση των δεδομένων περιλαμβάνει τέτοιες προσωπικές πληροφορίες. Ωστόσο, αυτή η ηθική σημαίνει επίσης ότι φέρουμε ευθύνη και απέναντι στον κόσμο. Οι χρήστες της PayMyTab πρέπει να γνωρίζουν για την παραβίαση των δεδομένων, καθώς επηρεάζει πολλούς από αυτούς”.
Οι ερευνητές της vpnMentor έχουν ανακαλύψει και άλλες βάσεις δεδομένων που εξέθεταν προσωπικές πληροφορίες εκατομμυρίων πολιτών του Ecuador, δεδομένα από sites ενηλίκων, πληροφορίες που ανήκουν στην αμερικανική κυβέρνηση και σε στρατιωτικούς, emails εταιρειών και πολλά άλλα.
