Mais um dia, e mais uma vulnerabilidade. Desta vez, o GovPayNow.com, um sistema de pagamento usado por milhares de agências do governo federal e estadual nos EUA e recentemente adquirido pela Securus Technologies, vazou 14 milhões de registos dos seus clientes.
As informações expostas incluem os últimos quatro dígitos dos cartões de pagamento, nomes, números de telefone e endereços, de acordo com Brian Krebs.
Qualquer pessoa pode visualizar as informações alterando os dígitos na URL de um recibo on-line que o serviço fornece aos utilizadores quando eles pagam multas de estacionamento.
“GovPayNet [which is doing business as GovPayNow] has addressed a potential issue with our online system that allows users to access copies of their receipts, but did not adequately restrict access only to authorized recipients,” according to a company statement sent to KrebsOnSecurity, which also said there was no “indication that any improperly accessed information was used to harm any customer, and receipts do not contain information that can be used to initiate a financial transaction.”
Observando que a maioria das informações expostas “são de matéria pública e podem ser acedidas muito facilmente”, disse a empresa. No entanto, com muita cautela e para maximizar a segurança dos utilizadores, o GovPayNet atualizou este sistema para garantir que apenas utilizadores autorizados possam visualizar seus recibos.
Nick Bilogorskiy, especialista de segurança da Juniper Networks, disse que a empresa que implementou este serviço não tomou as medidas correta de segurança.
“Provedores de pagamentos online, especialmente aqueles que fazem negócios com o governo, devem proteger os recibos dos seus clientes usando HTTPS e verificar se o utilizador está autenticado e tem permissões para visualizá-los.”
O GovPayNow.com exibia um recibo on-line quando os cidadãos o usavam para pagar taxas e multas do governo estadual e local por meio do website. Até o último fim de semana, era possível visualizar milhões de registos de clientes simplesmente alterando dígitos no endereço web exibido em cada recibo.
O problema informático foi resolvido, mas muitos utilizadores foram impactados e não se sabe ainda se os dados possam ter sido obtidos por ciberatacantes.
Mais detalhes aqui.