GoVayNETPayCurvices系统漏洞1400万交易记录曝光

时间: 2018-09-21 22:24:03 作者: 管理员

总部设在印第安纳波利斯的私人公司GovPayNet为35个州的2300多家美国政府机构提供在线支付服务。根据最新信息,自2012以来,约有1400万份包含收据信息的记录被泄露。根据安全研究人员Brian Krebs的说法,公司的网站GovPay..com允许任何人访问收据数据,包括法庭罚款、保释金和交通罚款。

GovPay..com在美国用户完成支付处理之后发送确认收据的数字收据,用户可以通过修改不同的ID容易地访问来自其他用户的收据。在Krebs演示中,通过简单地修改收据URL中的ID号,可以容易地访问GovPayNet支付系统中的任何证书,包括收据所有者的全名、住所地址、移动电话号码和交换卡的最后四位数字。
研究人员就这个问题向政府支付网络发出警报,两天后收到回复,确认他所发现的“潜在问题”已经解决。没有迹象表明黑客正在使用任何不当访问的信息来伤害任何客户,并且收据中不包含可用于发起金融交易的信息。”