Данные клиентов, оплачивающих услуги ЖКХ в штатах Арканзас и Оклахома, обнаружены в открытом доступе
Исследователь информационной безопасности под никнеймом в Twitter Oxyzq сообщил в своем аккаунте об обнаружении общедоступной директории, содержащей базы данные провайдеров по приему платежей за ЖКХ и штрафов для штатов Арканзас и Оклахома (США).
Обнаруженные базы принадлежат компаниям CourtPay и UtilityPay — 79674 и 64677 записей соответственно.
На сервере находились резервные копии баз на MySQL за период с 21 августа по 20 декабря 2019 года. Данные обновлялись ежедневно.
Формат ведения БД абсолютно идентичен и включал такие переменные как:
- Имя, Фамилия;
- Почтовый адрес;
- Номер телефона;
- Email;
- Сумма платежа;
- Способ оплаты;
- Дата оплаты;
- Первые 4 символа кредитной или дебетовой карты;
- Получатель платежа (всего 78 судов и 56 коммунальных служб).
Примечательным является тот момент, что помимо клиентских данных сервер содержал и исходные коды сайтов данных сервисов по приему платежей (CourtPay и UtilityPay) – более тысячи файлов в PHP, JS, CSS, HTML формате. Данный сервер был проиндексировал BinaryEdge еще 9 декабря, то есть все эти данные находились в публичном доступе почти 4 месяца.
DeviceLock уведомил Ncourt об утечке и доступ к файлам через несколько часов был закрыт.