GovPayNet憑證系統存在漏洞 1400萬交易記錄被曝光

CCkicker發表於2018-09-20

GovPayNet是總部位於美國印第安納波利斯市(Indianapolis)的私營企業,為美國35個州的2300多個美國政府機構提供線上支付服務。根據最新資訊,自2012年以來大概有1400萬條包含收據資訊的記錄被洩露。據安全研究員Brian Krebs報導,公司網站GovPayNow.com允許任意人訪問收據資料,其中包括法院下達的罰款、保釋金以及交通罰款等等。


GovPayNet憑證系統存在漏洞 1400萬交易記錄被曝光

美國使用者在完成付款處理之後,GovPayNow.com網站就會發出確認收款的數字收據,而使用者可以透過修改不同的ID來輕鬆訪問其他使用者的收據資訊。Krebs實際演示中,透過簡單地修改收據URL中的ID數字,就能輕鬆訪問GovPayNet支付系統中的任意憑證,包括收據所有者的全名、居住地址、手機號碼以及交易所使用行用卡的後四位數字。


在發現安全問題後,研究人員向GovPayNet發出了關於該問題的警報,並在兩天後收到答覆,確認他發現的“潛在問題”已得到解決。“目前沒有跡象表明有駭客利用任何不正當訪問的資訊來傷害任何客戶,收據中不包含可用於啟動金融交易的資訊。”



來源:cnBeta.COM


相關文章