Foto: Getty
Sikkerhed forskere i sidste måned opdagede en guldgrube af scannede billeder, der skildrer kreditkort og pas på mere end 88,600 internationale rejsende. Det er uvist, hvor længe de dokumenter, som blev sikret på onsdag, havde siddet online, som bare venter på at blive stjålet.
Forskere ved Kromtech Security Center sige en cache af mere end 300 GB til en værdi af følsomme oplysninger opdaget i midten af August er knyttet til Pengene, en virksomhed, der tilbyder restitutioner på salg, og andre værdiskabende afgifter på varer købt af rejsende til Mexico.
På en server i Usa, havde selskabet, der er gemt mere end 455,000 dokumenter, herunder scannede billeder af kreditkort, turismeindtægter, flybilletter, pas og andre offentligt udstedte ID-kort.
Pas identificeret ved Kromtech hører til borgere i USA, Canada, Argentina, Colombia, og Italien, der blandt mange andre lande.
For at fremme turismen, Mexico er blot et af flere lande, der tilbyder tilbagebetaling af skat, at rejsende, der bruger et minimum beløb på varer i land fra de deltagende butikker. For at kvalificere sig, turister i Mexico, skal bruge mindst på 1.200 pesos ($67 USD), skal du indtaste det land, ad sø-eller luftvejen fra visse lufthavne, og registret med Pengene i en lufthavn eller til terminal for krydstogtskibe.
For at modtage en tilbagebetaling af det kvalificerende afgiftsbelagte varer, Pengene kræver rejsende til at hoste op med en masse af dokumenter, der indeholder følsomme oplysninger, herunder boardingkort eller krydstogt-id ‘ er til afgang, kvitteringer for deres køb sammen med kreditkort, gavekort, i tillæg til pas og andre indvandring former.
Ifølge Kromtech, Pengene er gemt disse poster i en database (Gkbd), der var forkert, hvilket gav hovedsagelig alle at få adgang til dem, selv gennem en web-browser. Det er uvist, hvor længe de dokumenter, der blev udsat for, men Kromtech siger metadata på nogle af de filer, der daterer sig tilbage til slutningen af 2015. Den seneste registreringer er dateret Maj 2017.
Efter at være blevet gjort opmærksom på problemet, Pengene hurtigt sikret database, lukke en port (5984), der er aktiveret offentlig adgang. Selskabet har ikke svare på Kromtech ‘ s e-mails, men det har heller ikke reageret på en anmodning om kommentar fra Gizmodo.
“Cyber-kriminelle kunne have alle de oplysninger, de ville bruge til at begå identitetstyveri eller bruge hundredvis af tusindvis af kreditkort numre, der var i databasen,” sagde Alex Kernishniuk, Kromtech VP af strategiske alliancer. “Dette er igen en advarsel om, at virksomheder eller organisationer, der indsamler følsomme oplysninger til at tage alle mulige skridt for at sikre, at de rette data sikkerhedsforanstaltninger, der er brugt.”
Tilføjet Kernishniuk: “gang på Gang enkle menneskelige fejl, der let kunne undgås eksponerer følsomme data på internettet. Det er uklart, om andre end sikkerhed forskere adgang til de data, eller hvordan Pengene vil informere deres kunder i hele verden om, at deres oplysninger har været udsat for.”
I slutningen af sidste uge, Kromtech ‘ s forskere opdaget, og hjalp med til at sikre mere end 4 millioner poster, der indeholder personlige oplysninger om Time Warner Cable (TWC) kunder, som havde været forkert, der er gemt på en Amazon S3 bucket uden beskyttelse af en adgangskode.
[Kromtech]