在花费将近三周的时间公开暴露于互联网之后，已经确保了一个存储数百万笔信用卡交易的海量数据库。

该数据库属于Paay，Paay是位于纽约的卡支付处理器。与其他付款处理者一样，该公司代表销售商（例如在线商店和其他企业）验证付款，以防止欺诈性交易。

但是因为服务器上没有密码，所以任何人都可以访问其中的数据。

安全研究员Anurag Sen找到了数据库。他估计数据库中大约有250万张卡交易记录。他与公司联系后，该数据库被脱机。

Paay联合创始人Yitz Mendlowitz表示：“在4月3日，我们在一项我们正在淘汰的服务上启动了一个新实例。” “发生了一个错误，使该数据库没有密码就可以暴露。”

该数据库包含可追溯到2019年9月1日来自许多商人的卡交易的每日记录，审查了部分数据。每笔交易均包含完整的纯文本信用卡号，有效期和消费金额。记录还包含每个信用卡号的部分遮罩副本。该数据不包含持卡人姓名或卡验证值，这使得使用信用卡进行欺诈更加困难。

门德洛维茨对调查结果提出异议。“我们不存储卡号，因为我们没有用它们。” 他发送了一部分数据，其中以明文形式显示了卡号，但他没有回应我们的跟进。

这是今年第三家承认安全漏洞的支付处理商。1月份，森（Sen）找到了另一个付款处理器，该处理器具有一个公开的数据库，可存储670万条记录。本月初，另一位研究人员发现了两个用于支付法院罚款的支付站点，公用事业也使数月之久的数据泄露。

门德洛维茨说，该公司正在通知15至20名商人，并且该公司已聘请了一名未具名的法务审计员来了解安全漏洞的范围。