如果您最近从一家销售仿冒服装和商品的海外网店购买商品,您的信用卡号码和个人信息就有可能被泄露。
自 1 月 6 日以来,一个包含数十万个未加密信用卡号码和相应持卡人信息的数据库正在泄露到开放网络上。在周二下线时,该数据库拥有大约 330,000 个信用卡号、持卡人姓名和完整的账单地址——并且随着客户下新订单而实时增加。数据包含犯罪分子使用持卡人信息进行欺诈性交易和购买所需的所有信息。
信用卡号码属于通过声称销售设计师商品和服装的几乎相同的在线商店网络进行购买的客户。但这些商店都有相同的安全问题:每当顾客购物时,他们的信用卡数据和账单信息都会保存在数据库中,该数据库会在没有密码的情况下暴露在互联网上。任何知道数据库 IP 地址的人都可以访问大量未加密的财务数据。
善意的安全研究员Anurag Sen发现了暴露的信用卡记录,并请求 TechCrunch 帮助向其所有者报告。森在扫描互联网寻找暴露的服务器和无意中发布的数据,并将其报告给公司以确保他们的系统安全方面有着良好的记录。
但在这种情况下,森并不是第一个发现泄漏数据的人。根据在暴露的数据库上留下的勒索字条,其他人发现了泄漏的数据,而不是试图确定所有者并负责任地报告泄漏,而不是未具名的人声称已经复制了整个数据库的内容信用卡数据并将其返回以换取少量加密货币。
TechCrunch 对数据的审查显示,大部分信用卡号码都归美国的持卡人所有。我们联系的几个人证实,他们暴露的信用卡数据是准确的。
TechCrunch 已经确定了几家在线商店,其客户信息被泄露的数据库泄露。许多商店声称在香港以外经营。有些商店的设计听起来与 Sprayground 等知名品牌相似,但其网站没有明显的联系信息、错别字和拼写错误,而且明显缺乏顾客评论。互联网记录还显示,这些网站是在过去几周内建立的。
其中一些网站包括:
-
spraygroundusa.com网站
-
爱花合购网
-
igoodlinks.com
-
ibuysbuy.com
-
丽城商城
-
hzoushop.com
-
goldlyshop.com 网站
-
好航商城
-
twinklebubble.store
-
spendidbuy.com
如果您在过去几周内从其中一个网站购买了东西,您可能需要考虑您的银行卡已被盗用并联系您的银行或卡供应商。
目前尚不清楚谁负责这个仿冒商店网络。 TechCrunch 通过 WhatsApp 联系了一个人,该人在新加坡注册的电话号码被列为几家在线商店的联系人。目前尚不清楚列出的联系电话是否与这些商店有关,因为其中一个网站将其位置列为德克萨斯州休斯顿的 Chick-fil-A 餐厅。
互联网记录显示,该数据库由腾讯的客户运营,其云服务用于托管数据库。 TechCrunch 就其客户数据库泄露信用卡信息一事联系了腾讯,该公司迅速做出回应。不久之后,客户的数据库就离线了。
“当我们得知此事后,立即联系了操作数据库的客户,并立即将其关闭。数据隐私和安全是腾讯的首要任务。我们将继续与我们的客户合作,确保他们以安全可靠的方式维护他们的数据库,”腾讯全球传播总监 Carrie Fan 表示。
阅读更多:
Zack Whittaker最初发布在TechCrunch上的仿冒服装店网络暴露了 330,000 张客户信用卡
原文: https://techcrunch.com/2023/01/25/apparel-designer-goods-credit-cards-exposed/