![信用卡处理公司在线曝光900万条交易记录]( "信用卡处理公司在线曝光900万条交易记录")
©网络研究院
安全研究团队发现了一个开放且无密码保护的数据库,其中包含 9,098,506 条记录和个人身份信息 (PII)。
该数据包含信用卡处理信息,包括商户名称、收款人姓名、部分信用卡号码、到期日期、电子邮件地址、安全或访问令牌等。我们看到的许多交易都是为了向宗教组织、慈善活动或非营利组织捐款或定期付款。
在某些情况下,在数据库中标记为“匿名”的捐助者会在记录中以明文形式通过他们的姓名和电子邮件地址以及对他们的捐助的评论来识别。
经过进一步研究,参考了加利福尼亚州的 Cornerstone 支付系统。一旦我们确定了数据集的所有者,我们立即发送了负责任的披露通知,并在同一天限制公众访问。
Cornerstone 迅速而专业地采取行动,并感谢我们识别和报告风险。根据他们的网站;Cornerstone West Inc. 是美国纽约州德意志银行注册的独立销售组织 (ISO)。Cornerstone 根据其网站为符合其信仰和意识形态的企业和团体提供商家处理服务。
他们网站上的一份声明写道:“作为我们承诺的一部分,我们不会为道德上令人反感的企业处理信用卡交易”。
由于绝大多数网络犯罪都是出于经济动机,因此信用和财务数据非常敏感。如果犯罪分子拥有部分信用卡号码、账户或交易信息、姓名、联系方式和捐赠评论,他们可以根据宗教信仰或热衷的事业假设地建立这些人的档案。
然后,这些罪犯可以发起针对性很强的网络钓鱼活动或社会工程攻击。据估计,98% 的网络攻击涉及某种形式的社会工程。
这个公开的数据集可能是网络犯罪分子可以利用的潜在金矿。
数据库包含的内容:
-
-
名为“交易”的文件夹:内部交易日志记录,包括商家、用户和客户姓名、实际地址和电子邮件地址、电话号码等。此数据可被视为个人身份信息 (PII)。
-
在 10,000 条记录的随机样本中,我们在数据中搜索了常见的电子邮件帐户。结果如下:3,641 个 Gmail 地址、1,194 个 Yahoo 地址以及少量 MSN、Comcast 和其他提供商或私人电子邮件服务器。
-
这些个人或商家可能成为垃圾邮件或社会工程诈骗的目标。我们在有限的样本中验证了这些似乎是真实的个人和活跃的联系人。
-
记录公开了部分卡号、卡类型、有效日期、捐赠细节、经常性付款和评论。捐赠细节包括美元金额和捐赠用途,例如捐赠、商品或服务付款以及基本上任何其他交易。电子支票支付数据包括银行名称和支票号码。这些说明还包括授权令牌,如果付款被拒绝或接受,以及决定的原因。
-
这些记录还暴露了“匿名”捐助者的身份和表明他们个人捐助者可能不希望公开曝光或将他们置于额外隐私风险中的观点和信念的评论。
![信用卡处理公司在线曝光900万条交易记录]( "信用卡处理公司在线曝光900万条交易记录")
暴露寻求性成瘾帮助的客户的敏感和个人详细信息的交易评论示例。
![信用卡处理公司在线曝光900万条交易记录]( "信用卡处理公司在线曝光900万条交易记录")
希望交易保持匿名的捐助者示例。
![信用卡处理公司在线曝光900万条交易记录]( "信用卡处理公司在线曝光900万条交易记录")
带有姓名、电子邮件和其他纯文本数据的交易记录示例。
信用卡处理数据泄露的风险是什么?
根据美国联邦储备委员会的数据,到 2021 年,估计有 76% 的购买是使用信用卡或借记卡进行的。
在许多情况下,在线购物或进行捐赠时,信用卡是主要或唯一可用的支付选项。
支付卡处理商从大量零售商和组织接收数据,这使得卡处理系统的任何数据泄露风险都比涉及单个零售商的数据泄露风险大得多。
信用卡处理涉及传输敏感的信用卡持卡人信息以在批准或拒绝过程中验证交易。信贷行业有严格的数据安全合规要求,例如支付卡行业数据安全标准 (PCI DSS)。
PCI 要求的基本概念是为处理、收集、存储或传输信用卡数据的公司创建标准安全协议。尽管各个州都有保护消费者数据的数据保护法,但美国政府并未强制执行 PCI 合规性标准。
这些由支付卡行业安全标准委员会监管,该委员会是 2006 年由主要信用卡公司(American Express、Discover、JCB、MasterCard 和 Visa)成立的独立实体。
网络钓鱼和社会工程
一个潜在的风险是犯罪分子接触客户并假装是合法的商人或组织。犯罪分子将拥有所有内幕知识,与受害者建立信任关系,以获得额外的支付信息或社会安全号码 (SSN) 或其他可用于邪恶目的的数据。
例如,罪犯打电话说“我看到你在三月份捐赠了 500 美元来支持 XYZ 事业,我们需要你验证尾号为 1234 的信用卡”。受害人没有理由怀疑这是一个合法的电话,因为只有他们捐赠的团体或他们购买的商家知道这些信息。
有针对性的攻击
我们看到的许多交易评论都是出于宗教、反堕胎/反堕胎、反 COVID 指令以及其他保守或宗教原因。在当前的分裂气氛中,另一个潜在的风险是,根据他们支持的信仰或事业,将公开记录中列出的个人作为目标。
黑客行动主义者在过去采取了警惕的态度,协同攻击在可能性范围内。例如,2022 年 11 月,俄罗斯黑客窃取了澳大利亚最大的健康保险公司 Medibank 的客户数据,并在保险公司拒绝支付 1000 万美元赎金后在线发布了堕胎记录。
这些特定记录成为网络犯罪分子的目标并被利用以谋取经济利益,这可能并非巧合。2022年6月,黑客组织 SiegedSec 以反对堕胎的立场对美国国家机构发起了攻击。该组织发布了被黑客入侵的政府数据,并声称将对“支持生命的实体”进行更多的网络攻击。
我们审查了有限的记录样本,并验证了姓名和电子邮件是否与看似真实的个人和组织相匹配。作为安全研究人员,出于道德原因,我们从不下载或提取我们发现的数据,只截取有限数量的屏幕截图,这些屏幕截图经过编辑以记录调查结果。
因此,目前尚不清楚有多少客户在数据事件中受到影响。经常性支付可以使用同一用户的数据和卡信息进行多次交易。例如,如果一个用户或商家在几年内每月自动付款,这将导致包含同一用户付款数据的多条记录。但是,支付或交易 ID 和令牌数据会有所不同。
我们的目标是数据保护和网络安全意识。我们出于教育目的发布我们的调查结果并提高对数据事件的认识。我们暗示 Cornerstone 或其任何商家或关联公司没有任何不当行为,或者任何客户数据都曾面临风险。
本文中材料的介绍并不意味着我们对突出显示的数据事件的法律后果表达任何意见。本文中的统计数据和事实数据以及其他信息来自我们的研究人员认为可靠的来源,但我们注意到可能会出现错误并且信息可能会过时。
数据非常重要,尤其是当大量真人可能暴露在外时。收集存储和处理数据的公司和组织有义务通知可能受影响的个人。我们强烈建议在线收集和存储 PII 或其他敏感数据的组织使用加密和其他安全措施,以确保在数据意外泄露或暴露时保护这些数据。
原文始发于微信公众号(网络研究院):信用卡处理公司在线曝光900万条交易记录
评论