Vazam 14 milhões de registros da GovPayNow.com

Vazam 14 milhões de registros da GovPayNow.com. Mais de 14 milhões de registros de clientes desde 2012 da  GovPayNow.com – Government Payment Service Inc – empresa que mais de 2.300 agências de governo locais nos EUA usam para aceitar pagamentos online de multas e taxas de licenciamento judiciais – foram comprometidos, segundo a KrebsOnSecurity.

Segundo o site de investigação de segurança, a informação que vazou inclui nomes, endereços, números de telefone e os últimos quatro dígitos dos cartões de crédito. A KrebsOnSecurity alertou a empresa – que faz negócios como a GovPayNow.com – para o problema em 14 de setembro.

O site descobriu que era possível visualizar milhões de registros de clientes simplesmente ajustando os dígitos no endereço da Web exibido em cada recibo.

O GovPayNet resolveu um possível problema com nosso sistema online que permite aos usuários acessar cópias de seus recibos, mas não restringiu adequadamente o acesso apenas a destinatários autorizados“, disse a empresa em um comunicado fornecido à KrebsOnSecurity.

A declaração do GovPayNet continua: “A empresa não tem nenhuma indicação de que qualquer informação acessada indevidamente foi usada para prejudicar qualquer cliente, e os recibos não contêm informações que possam ser usadas para iniciar uma transação financeira. Além disso, a maioria das informações nos recibos é uma questão de registro público que pode ser acessada por outros meios. No entanto, com muita cautela e para maximizar a segurança dos usuários, o GovPayNet atualizou este sistema para garantir que apenas usuários autorizados possam visualizar seus recibos individuais. Continuaremos a avaliar a segurança e o acesso a todos os sistemas e registros de clientes”.

Em janeiro de 2018, a GovPayNet foi adquirida pela Securus Technologies, uma empresa com sede em Carrollton, Texas, que fornece serviços de telecomunicações para prisões e ajuda a policiais a monitorar dispositivos móveis usado por ex-presidiários.

Embora o nome e a sua atuação em prisões, a Securus não possui um grande histórico na proteção de dados. Em maio de 2018, o New York Times deu a notícia de que o serviço da Securus para rastrear os celulares de criminosos condenados estava sendo abusado por agências policiais para rastrear a localização em tempo real de dispositivos móveis usados por pessoas que só tinham sido suspeitas de cometer um crime. A notícia levantou a hipótese de que as autoridades poderiam usar o serviço para rastrear a localização em tempo real de praticamente qualquer telefone celular na América do Norte.

Como observa KrebsOnSecurity, consertar essas questões de divulgação de informações é relativamente simples, então é notável quantas organizações estão sofrendo com essas vulnerabilidades básicas – especialmente se o nome delas, ‘Securus’, sugerir que elas deveriam estar realmente no “topo do jogo”.

 

Fonte: Engadget & KrebsOnSecurity

Veja também:

 

Sobre mindsecblog 2399 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

Seja o primeiro a comentar

Deixe sua opinião!