Sicherheitsvorfall bei Cornerstone Payment Systems mit 9 Millionen Kreditkarten-Transaktionsdaten

Sicherheit (Pexels, allgemeine Nutzung)[English]Wer im Internet unterwegs ist, hinterlässt Spuren, speziell, wenn er mit Kreditkarte einkauft. Sicherheitsforscher sind nun auf eine ungesicherte Datenbank gestoßen, die frei per Internet zugreifbar war. In dieser Datenbank waren 9 Millionen Kreditkarten-Transaktionsdaten gespeichert. Die Datenbank gehört dem in Kalifornien ansässigen US-Unternehmen Cornerstone Payment Systems.


Anzeige

Der Sicherheitsvorfall wurde von Sicherheitsforscher Jeremiah Fowler zusammen mit dem Forschungsteam von Website Planet entdeckt und in diesem Beitrag beschrieben. Bei der Suche nach offenen Datenbanken stieß man auf eine per Internet erreichbare, offene und nicht passwortgeschützte Datenbank, die 9.098.506 Datensätze und personenbezogene Daten enthielt.

Es gab einen Ordner (Tabelle) mit dem Namen "Transaktionen":  Dieser enthielt Daten mit Informationen zur Kreditkartenabwicklung (interne Transaktionsprotokolle) mit den Namen von Händlern und Zahlungsempfängern, Teilnummern von Kreditkarten, Ablaufdatum der Kreditkarte, die E-Mail-Adressen, Telefonnummern, Sicherheits- oder Zugriffstoken und mehr.

Diese Daten sind als persönlich identifizierbare Informationen (PII) zu betrachten. Die Spender oder Händler könnten Ziel von Spam oder Social-Engineering-Betrug werden. In einer begrenzten Stichprobe haben die Sicherheitsforscher festgestellt, dass es sich offenbar um echte Personen und aktive Kontakte handelt.

Die Datensätze enthielten teilweise Kartennummern, Kartentypen, Gültigkeitsdaten, Spendenangaben, wiederkehrende Zahlungen und Kommentare. Zu den Spendenangaben gehörten der Dollarbetrag und der Verwendungszweck der Spende, z. B. Spenden, Zahlungen für Waren oder Dienstleistungen und im Grunde jede andere Transaktion. Die Daten zu elektronischen Scheckzahlungen umfassten Banknamen und Schecknummern. Die Notizen enthielten auch Genehmigungszeichen und Angaben darüber, ob die Zahlung abgelehnt oder angenommen wurde, sowie die Gründe für diese Entscheidung.


Anzeige

Viele der Transaktionen, die die Sicherheitsforscher bei der Sichtung der Datensätze sahen, betrafen Spenden oder wiederkehrende Zahlungen an religiöse Organisationen, Wohltätigkeitskampagnen oder gemeinnützige Gruppen.

In einigen Fällen wurden Spender, die in der Datenbank als "anonym" gekennzeichnet waren, in den Aufzeichnungen durch ihre Namen und E-Mail-Adressen im Klartext identifiziert, zusammen mit Kommentaren über ihre Spende. Laut den Sicherheitsforschern enthüllten die Aufzeichnungen nicht nur die Identität "anonymer" Spender. Anhand der Kommentare ließen sich auch die Ansichten und Überzeugungen der Spender herausfinden – Informationen, von denen die einzelnen Spender möglicherweise nicht wollten, dass sie öffentlich bekannt werden – weil sie sich einem zusätzlichen Risiko für ihre Privatsphäre aussetzen.

In einer Zufallsstichprobe von 10.000 Datensätzen suchten die Sicherheitsforscher nach gemeinsamen E-Mail-Konten innerhalb der Daten. Im Ergebnis ließen sich 3.641 Gmail-Adressen, 1.194 Yahoo-Adressen und eine geringe Anzahl von MSN-, Comcast- und anderen Anbietern oder privaten E-Mail-Servern extrahieren. Details zu den gefundenen Daten sind in diesem Beitrag beschrieben.

Bei weiteren Nachforschungen fanden sich Hinweise auf das in Kalifornien ansässige Unternehmen Cornerstone Payment Systems. Die Sicherheitsforscher kontaktieren dieses Unternehmen, der dann den öffentlichen Zugriff auf die Datenbank noch am selben Tag eingeschränkte.

Cornerstone West Inc. ist laut Website Planet eine registrierte unabhängige Vertriebsorganisation (ISO) der Deutschen Bank, USA, New York, NY. Cornerstone ist eine der landesweit führenden, christlich geführten, unabhängigen Vertriebsorganisationen in der Handelsabwicklungsbranche. Der Dienstleister bietet die Abwicklung von Transaktionen für Unternehmen und Gruppen an, die mit den Cornerstone-Überzeugungen und Ideologien (im religiösen Bereich) übereinstimmen.


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.