©网络研究院
安全研究团队发现了一个开放且无密码保护的数据库,其中包含 9,098,506 条记录和个人身份信息 (PII)。
该数据包含信用卡处理信息,包括商户名称、收款人姓名、部分信用卡号码、到期日期、电子邮件地址、安全或访问令牌等。我们看到的许多交易都是为了向宗教组织、慈善活动或非营利组织捐款或定期付款。
在某些情况下,在数据库中标记为“匿名”的捐助者会在记录中以明文形式通过他们的姓名和电子邮件地址以及对他们的捐助的评论来识别。
经过进一步研究,参考了加利福尼亚州的 Cornerstone 支付系统。一旦我们确定了数据集的所有者,我们立即发送了负责任的披露通知,并在同一天限制公众访问。
Cornerstone 迅速而专业地采取行动,并感谢我们识别和报告风险。根据他们的网站;Cornerstone West Inc. 是美国纽约州德意志银行注册的独立销售组织 (ISO)。Cornerstone 根据其网站为符合其信仰和意识形态的企业和团体提供商家处理服务。
他们网站上的一份声明写道:“作为我们承诺的一部分,我们不会为道德上令人反感的企业处理信用卡交易”。
由于绝大多数网络犯罪都是出于经济动机,因此信用和财务数据非常敏感。如果犯罪分子拥有部分信用卡号码、账户或交易信息、姓名、联系方式和捐赠评论,他们可以根据宗教信仰或热衷的事业假设地建立这些人的档案。
然后,这些罪犯可以发起针对性很强的网络钓鱼活动或社会工程攻击。据估计,98% 的网络攻击涉及某种形式的社会工程。
这个公开的数据集可能是网络犯罪分子可以利用的潜在金矿。
数据库包含的内容:
-
-
名为“交易”的文件夹:内部交易日志记录,包括商家、用户和客户姓名、实际地址和电子邮件地址、电话号码等。此数据可被视为个人身份信息 (PII)。
-
在 10,000 条记录的随机样本中,我们在数据中搜索了常见的电子邮件帐户。结果如下:3,641 个 Gmail 地址、1,194 个 Yahoo 地址以及少量 MSN、Comcast 和其他提供商或私人电子邮件服务器。
-
这些个人或商家可能成为垃圾邮件或社会工程诈骗的目标。我们在有限的样本中验证了这些似乎是真实的个人和活跃的联系人。
-
记录公开了部分卡号、卡类型、有效日期、捐赠细节、经常性付款和评论。捐赠细节包括美元金额和捐赠用途,例如捐赠、商品或服务付款以及基本上任何其他交易。电子支票支付数据包括银行名称和支票号码。这些说明还包括授权令牌,如果付款被拒绝或接受,以及决定的原因。
-
这些记录还暴露了“匿名”捐助者的身份和表明他们个人捐助者可能不希望公开曝光或将他们置于额外隐私风险中的观点和信念的评论。
带有姓名、电子邮件和其他纯文本数据的交易记录示例。
原文始发于微信公众号(网络研究院):信用卡处理公司在线曝光900万条交易记录
评论