[ad_1]

Service de paiement du gouvernement inc. – une société utilisée par des milliers d’États américains et de gouvernements locaux pour accepter les paiements en ligne pour tout, des citations de trafic et des frais de licence aux paiements de caution et aux amendes ordonnées par le tribunal – a divulgué plus de 14 millions de dossiers clients datant d’au moins six ans, y compris les noms , adresses, numéros de téléphone et les quatre derniers chiffres de la carte de crédit du payeur.

Basé à Indianapolis GovPayNetfaire des affaires en ligne en tant que GovPayNow.comdessert environ 2 300 agences gouvernementales dans 35 États. GovPayNow.com affiche un reçu en ligne lorsque les citoyens l’utilisent pour régler les frais et amendes des administrations nationales et locales via le site. Jusqu’au week-end dernier, il était possible de visualiser des millions d’enregistrements de clients simplement en modifiant les chiffres de l’adresse Web affichée par chaque reçu.

Le vendredi 14 septembre, BreachTrace a alerté GovPayNet que son site exposait au moins 14 millions de reçus de clients remontant à 2012. Deux jours plus tard, la société a déclaré avoir résolu « un problème potentiel ».

« GovPayNet a résolu un problème potentiel avec notre système en ligne qui permet aux utilisateurs d’accéder à des copies de leurs reçus, mais n’a pas suffisamment restreint l’accès aux seuls destinataires autorisés », a déclaré la société dans un communiqué fourni à BreachTrace.

La déclaration continue :

« La société n’a aucune indication que des informations consultées de manière inappropriée ont été utilisées pour nuire à un client, et les reçus ne contiennent aucune information pouvant être utilisée pour initier une transaction financière. De plus, la plupart des informations contenues dans les reçus sont des archives publiques auxquelles il est possible d’accéder par d’autres moyens. Néanmoins, par prudence et pour maximiser la sécurité des utilisateurs, GovPayNet a mis à jour ce système pour garantir que seuls les utilisateurs autorisés pourront voir leurs reçus individuels. Nous continuerons d’évaluer la sécurité et l’accès à tous les systèmes et dossiers des clients. »

En janvier 2018, GovPayNet était acquis par Securus Technologiesune société basée à Carrollton, au Texas, qui fournit des services de télécommunications aux prisons et aide les forces de l’ordre à garder un œil sur les appareils mobiles utilisés par les anciens détenus.

Bien que son nom puisse suggérer le contraire, Securus n’a pas un excellent bilan en matière de sécurisation des données. En mai 2018, le New York Times a annoncé la nouvelle que le service de Securus pour suivre les téléphones portables des criminels condamnés était abusé par les forces de l’ordre pour suivre l’emplacement en temps réel des appareils mobiles utilisés par des personnes qui n’avaient été que soupçonnées d’avoir commis un crime. L’histoire a observé que les autorités pourraient utiliser le service pour suivre l’emplacement en temps réel de presque n’importe quel téléphone mobile en Amérique du Nord.

Quelques semaines plus tard, Motherboard signalé que des pirates informatiques avaient pénétré dans les systèmes de Securus et volé les informations d’identification en ligne de plusieurs responsables de l’application des lois qui utilisaient les systèmes de l’entreprise pour suivre l’emplacement des suspects via leur numéro de téléphone portable.

Une histoire ici le 22 mai a illustré comment le site de Securus semblait permettre à quiconque de réinitialiser le mot de passe d’un utilisateur Securus autorisé simplement en devinant la réponse à l’une des trois «questions de sécurité» présélectionnées, y compris «quel est le nom de votre animal de compagnie». « quelle est ta couleur préférée » et « dans quelle ville es-tu né ». Tout comme GovPayNet, le site Web de Securus semblait avoir été érigé dans les années 80 et laissé vieillir sans grâce pendant des années.

Choisissez judicieusement et vous aussi, vous pourriez avoir la possibilité de rechercher l’emplacement mobile précis de n’importe qui.

Les expositions de données comme celles-ci font partie des formes de fuites d’informations en ligne les plus courantes mais facilement évitables. Dans ce cas, il était trivial d’énumérer le nombre d’enregistrements exposés car chaque enregistrement était séquentiel.

Les sites de commerce électronique peuvent atténuer ces fuites en utilisant autre chose que des numéros d’enregistrement faciles à deviner ou séquentiels, et/ou en cryptant des parties uniques de l’URL affichées aux clients lors du paiement.

Bien que la résolution de ces vulnérabilités de divulgation d’informations soit assez simple, il est remarquable de voir combien d’organisations qui devraient être mieux informées n’investissent pas les ressources nécessaires pour les trouver et les corriger. En août, BreachTrace a révélé une faille similaire à l’œuvre dans des centaines de sites Web de petites banques gérés par Fiservun important fournisseur de services technologiques aux institutions financières.

En juillet, service de protection contre l’usurpation d’identité LifeLock correction d’une faille de divulgation d’informations qui exposait inutilement l’adresse e-mail de millions d’abonnés. Et en avril 2018, PaneraBread.com a remédié à une faiblesse qui exposait des millions de noms de clients, d’adresses e-mail et physiques, d’anniversaires et de numéros de carte de crédit partiels.

Vous avez un conseil sur une vulnérabilité de sécurité similaire à celles détaillées ci-dessus, ou peut-être quelque chose de plus grave ? S’il vous plaît envoyez-moi une note à [email protected]

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *