GovPayNet una empresa privada que brinda servicios de pago en línea a más de 2300 agencias del gobierno de EEUU. En 35 estados, filtró alrededor de 14 millones de registros que contienen datos de recibos desde 2012.
Según informó el investigador de seguridad Brian Krebs , el sitio web GovPayNow.com de la compañía permitió que cualquier persona accediera a los datos de recibos por cualquier cosa, desde multas de tránsito hasta multas y pagos bajo fianza ordenados por la corte.
Esto fue posible porque después de que se procesaron los pagos, GovPayNow.com emitía un recibo digital para confirmar el pago y lo mostraba en el sitio web, sin medidas de seguridad adicionales junto a un ID diferente agregado a la URL de la página por cada recibo generado.
Krebs pudo acceder a los datos de recibos de cualquier cliente que alguna vez usó el sistema de pago de GovPayNet simplemente cambiando los dígitos en las identificaciones de recibo, y así poder ver nombres completos, direcciones físicas y números de teléfono de los propietarios de recibos accedidos al azar, junto con los últimos cuatro dígitos de la tarjeta de crédito utilizada en la transacción.
Al encontrar el problema de seguridad, el investigador alertó a GovPayNet sobre el problema y recibió una respuesta dos días después confirmando que se había abordado el "problema potencial" que encontró.
GovPayNet solucionó el problema del sistema de recibos y prometió evaluar el resto de los servicios de GovPayNow.com
"La compañía no tiene ninguna indicación de que se haya utilizado información mal accesible para dañar a ningún cliente, y los recibos no contienen información que pueda usarse para iniciar una transacción financiera", dijo un funcionario de GovPayNet. "Además, la mayoría de la información en los recibos es una materia de registro público a la que se puede acceder por otros medios ".
Los administradores de GovPayNow.com continuaron su declaración diciendo que el sistema de recibos se ha actualizado para permitir el acceso a recibos solo a usuarios autenticados y autorizados.
GovPayNet también emitió una promesa diciendo que se está llevando a cabo una evaluación de la forma en que se accede a los registros y sistemas de los clientes a través de GovPayNow.com.
GovPayNet's es una subsidiaria de Securus Technologies, una compañía que proporciona servicios de telecomunicaciones a una serie de agencias de aplicación de la ley. Durante mayo de 2018, un Securus sufrió una violación de datos a través del cual las credenciales para los agentes del orden público fueron robadas por los piratas informáticos detrás del ataque.
Fecha actualización el 2021-09-19. Fecha publicación el 2018-09-19. Categoría: GovPayNet Autor: Oscar olg Mapa del sitio Fuente: softpedia