GovPayNet 凭证系统存在漏洞 1400 万交易记录被曝光

GovPayNet是总部位于美国印第安納波利斯市(Indianapolis)的私营企业，为美国35个州的2300多个美国政府机构提供在线支付服务。根据最新信息，自2012年以来大概有1400万条包含收据信息的记录被泄露。据安全研究员Brian Krebs报道，公司网站GovPayNow.com允许任意人访问收据数据，其中包括法院下达的罚款、保释金以及交通罚款等等。

GovPayNet 凭证系统存在漏洞 1400 万交易记录被曝光

美国用户在完成付款处理之后，GovPayNow.com就会发出确认收款的数字收据，而用户可以通过修改不同的ID来轻松访问其他用户的收据信息。Krebs实际演示中，通过简单地修改收据URL中的ID数字，就能轻松访问GovPayNet支付系统中的任意凭证，包括收据所有者的全名、居住地址、手机号码以及交易所使用行用卡的后四位数字。

在发现安全问题后，研究人员向GovPayNet发出了关于该问题的警报，并在两天后收到答复，确认他发现的“潜在问题”已得到解决。“目前没有迹象表明有黑客利用任何不正当访问的信息来伤害任何客户，收据中不包含可用于启动金融交易的信息。”

添加收藏