行业新闻与博客

一家移动支付提供商因未遵循安全协议而暴露了数千名美国餐馆游客的数据，为期 16 个月。 

 自 2018年7月2日起，PayMyTab 并未将公司用于存储客户数据的 Amazon Web Services（AWS）S3 存储桶上的安全设置更改为“私有”。

暴露的数据包括使用 PayMyTab 服务为餐厅付款的顾客的个人识别信息（PII），然后要求通过电子邮件将其收据或发短信给他们。 

当客户单击链接查看收据时，有权访问 S3 存储桶数据库的任何人都可以查看客户的姓名，电子邮件地址或电话号码以及付款卡中的最后四位数字。 

虚拟围观者还可以查看客户吃过什么，他们在哪里吃过以及就餐经历的时间和日期的有趣快照。 

PayMyTab 将自己推向服务市场，为消费者提供“付款时的简单性和安全性”，并在其隐私权政策中声称“保持适当的行政，物理和技术保障，以保护数据的安全性，机密性和完整性。

 10月18日，华盛顿特区戴维斯·赖特· 特赖曼（Davis Wright Tremaine）的合伙人海伦·福斯特（Helen Foster）向 vpnMentor 提交了数据泄露证明这些说法是错误的  。福斯特从希望保持匿名的消息来源获悉泄漏。

vpnMentor 于 10月22日与 PayMyTab 联系，并于 10月27日再次与他们联系，以告知其违规行为。   

“此数据泄露表示 PayMyTab 的基本安全协议严重失效。通过暴露此数据库，他们冒着风险在其客户餐厅，餐厅本身以及 PayMyTab 整个业务中保护客户的隐私。 

vpnMentor 研究人员写道：“暴露的客户 PII 使受影响的人容易受到多种形式的在线攻击和欺诈。” 

“利用在这种漏洞中暴露的信息，黑客和网络犯罪分子可以开始建立潜在受害者的资料并将其作为身份盗用或网络钓鱼活动的目标。对其财务和人身安全的影响可能是灾难性的。”

据 vpnMentor 研究人员称，这种本来可以很容易地预防的过时的安全 SNAFU，可能很难修复。 

他们写道：“即使 PayMyTab 保护了 S3 存储桶，相关收据仍可能被暴露。PayMyTab 将需要彻底检修其数据存储以解决问题。”

研究人员警告说，访问该存储桶的黑客可能已经下载了文件，然后他们可以使用这些文件破坏存储在存储桶上的任何将来的随机安全措施。

非常感谢您对亚洲注册的支持与信任！

禁止转载