美國政府支付網站存漏洞 1400萬用戶資訊遭泄露

美國政府支付網站(全稱Government Payment Service Inc, 簡稱 GovPayNet)因使用過時的記錄系統，自2012年以來，泄露了超過1400萬用戶的收據記錄，其中包含用戶姓名、電話、地址以及交易所使用信用卡的後四位數字等資訊。

　　GovPayNet是總部位於美國印第安納波利斯市的私營企業，為美國36個州的2600多個美國政府機構提供在線支付服務。

　　安全研究員Brian Krebs發現，用戶在完成付款處理之後，會收到GovPayNet網站發來的交易確認網頁，上面有交易收據，其中包含一串特別的數字，而用戶可以通過輸入任意的收據號來輕鬆訪問其他用戶的收據資訊，其中包括法院下達的罰款、保釋金以及交通罰款等各種收據資訊。

　　在發現安全問題後，研究員Brian Krebs於9月14日向GovPayNet反映了該問題，並在兩天后收到了該公司的答覆，被告知在線系統的“潛在問題”已得到解決。該公司更新了系統，確保每位用戶只能查看自己的電子發票。

　　GovPayNet還表示，“目前沒有跡象表明有黑客利用任何不正當訪問得到的資訊來傷害任何客戶”。但是，安全專家表示，雖然收據中不包含可用於啟動金融交易的資訊，但這個漏洞對用戶的隱私構成了重大的風險。對此，網絡防禦和情報服務公司 Falanx Group的高級數據保護顧問Lillian Tsang說，“身份盜竊、欺詐甚至克隆都有可能發生，這取決於資訊泄露的程度。”