Vazam 14 milhões de registros da GovPayNow.com. Mais de 14 milhões de registros de clientes desde 2012 da GovPayNow.com – Government Payment Service Inc – empresa que mais de 2.300 agências de governo locais nos EUA usam para aceitar pagamentos online de multas e taxas de licenciamento judiciais – foram comprometidos, segundo a KrebsOnSecurity.
Segundo o site de investigação de segurança, a informação que vazou inclui nomes, endereços, números de telefone e os últimos quatro dígitos dos cartões de crédito. A KrebsOnSecurity alertou a empresa – que faz negócios como a GovPayNow.com – para o problema em 14 de setembro.
O site descobriu que era possível visualizar milhões de registros de clientes simplesmente ajustando os dígitos no endereço da Web exibido em cada recibo.
“O GovPayNet resolveu um possível problema com nosso sistema online que permite aos usuários acessar cópias de seus recibos, mas não restringiu adequadamente o acesso apenas a destinatários autorizados“, disse a empresa em um comunicado fornecido à KrebsOnSecurity.
A declaração do GovPayNet continua: “A empresa não tem nenhuma indicação de que qualquer informação acessada indevidamente foi usada para prejudicar qualquer cliente, e os recibos não contêm informações que possam ser usadas para iniciar uma transação financeira. Além disso, a maioria das informações nos recibos é uma questão de registro público que pode ser acessada por outros meios. No entanto, com muita cautela e para maximizar a segurança dos usuários, o GovPayNet atualizou este sistema para garantir que apenas usuários autorizados possam visualizar seus recibos individuais. Continuaremos a avaliar a segurança e o acesso a todos os sistemas e registros de clientes”.
Em janeiro de 2018, a GovPayNet foi adquirida pela Securus Technologies, uma empresa com sede em Carrollton, Texas, que fornece serviços de telecomunicações para prisões e ajuda a policiais a monitorar dispositivos móveis usado por ex-presidiários.
Embora o nome e a sua atuação em prisões, a Securus não possui um grande histórico na proteção de dados. Em maio de 2018, o New York Times deu a notícia de que o serviço da Securus para rastrear os celulares de criminosos condenados estava sendo abusado por agências policiais para rastrear a localização em tempo real de dispositivos móveis usados por pessoas que só tinham sido suspeitas de cometer um crime. A notícia levantou a hipótese de que as autoridades poderiam usar o serviço para rastrear a localização em tempo real de praticamente qualquer telefone celular na América do Norte.
Como observa KrebsOnSecurity, consertar essas questões de divulgação de informações é relativamente simples, então é notável quantas organizações estão sofrendo com essas vulnerabilidades básicas – especialmente se o nome delas, ‘Securus’, sugerir que elas deveriam estar realmente no “topo do jogo”.
Fonte: Engadget & KrebsOnSecurity
Veja também:
- O Google rastreia seus movimentos mesmo contra sua vontade
- Beyond Trust é comprada pela Bomgar
- Aeroporto de Bristol (UK) é atingido por ransomware
- Visão estratégica das Dimensões de Segurança na LGDP
- CPO e CSO: Unidos pelas novas regulamentações!
- Proteção de dados e a tutela da saúde na LGPD
- Dados de 380mil cartões vaza na British Airways
- Temperatura tira do ar Data Center da Azure
- Vulnerabilidade permite elevação de privilégios no Windows 10
Deixe sua opinião!