Über ein massives Datenleck bei dem Zahlungsdienstleister GovPayNet berichtet der Journalist und Sicherheitsexperte Brian Krebs. Dieser wickelt in den USA Zahlungen für Behörden und andere staatliche Institutionen ab. Mindestens 14 Millionen Buchungen waren über die Webseite GovPayNow öffentlich einsehbar.

Die Buchungsdaten enthalten Name, Adresse, Telefonnummer und die letzten vier Stellen der Kreditkarte, die für die Zahlung verwendet wurde. All diese Daten waren bis vor wenigen Tagen Online abrufbar. Dazu mussten nur die Nummern in der Webadresse, die die Zahlungsbestätigung anzeigt, abgeändert werden. Buchungen der vergangenen 6 Jahre konnten so eingesehen werden.

Am 14. September informierte Brian Krebs GovPayNet über das Leck. Das Unternehmen schloss die Lücke zwei Tage später. In einem Statement äußert sich der Zahlungsdienstleister nur knapp: Er habe eine potenzielle Schwachstelle geschlossen und habe keine Informationen, dass die Daten missbraucht worden seien. Die betroffenen Quittungen würden keine Daten enthalten, mit denen Zahlungen veranlasst werden könnten. Insbesondere seien die Daten größtenteils auch an anderer Stelle öffentlich zugänglich.

Für 2.600 Behörden in den USA verbucht der Zahlungsdienstleister GovPayNet jährlich 2,1 Millionen Zahlungen. Über den Dienstleister können Geldbußen, Strafzettel, Lizenzgebühren, Entschädigungszahlungen oder bestimmte Steuern beglichen werden.

Ähnliche Leaks gab es kürzlich bei der Fluggesellschaft British Airways und der Datenmanagementfirma Veeam.

(hv, hannover)

(siehe auch golem.de:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE