Theo Engadget, cuộc điều tra cho thấy thông tin bị rò rỉ bao gồm tên, địa chỉ, số điện thoại và 4 số cuối của thẻ tín dụng. GovPayNow.com được hàng ngàn công ty địa phương ở Mỹ sử dụng để chấp nhận thanh toán trực tuyến cho mọi thứ, bao gồm cả tiền phạt theo lệnh tòa án cũng như lệ phí cấp phép.
KrebsOnSecurity đã gửi thông báo cho Government Payment Service Inc, chủ nhân của GovPayNow.com, về sự cố vào ngày 14/9. Trang web nhận thấy rằng bên ngoài có thể xem hàng triệu bản ghi khách hàng chỉ bằng cách tinh chỉnh các chữ số trong địa chỉ web được hiển thị bởi mỗi biên lai.
Hai ngày sau, trang web này đã phát hành một tuyên bố nói rằng họ đã giải quyết “vấn đề tiềm ẩn” và rằng “không có dấu hiệu cho thấy bất kỳ thông tin truy cập sai lệch nào đã được sử dụng để gây hại cho bất kỳ khách hàng nào”. Tuy nhiên công ty vẫn cập nhật hệ thống của mình để ngăn chặn vấn đề tái diễn.
Government Payment Service Inc đã được Securus Technologies mua lại vào đầu năm 2018. Công ty có trụ sở tại Texas này cung cấp dịch vụ viễn thông cho các nhà tù cùng nhiều thứ khác đã nhiều lần bị phát hiện làm rò rỉ dữ liệu trong năm nay. Vào tháng 5, báo cáo cho biết Securus đã bị lợi dụng chức năng theo dõi điện thoại di động, sau đó chỉ vài tuần tin tặc đột nhập vào hệ thống của công ty và đánh cắp thông tin trực tuyến của nhiều quan chức thực thi pháp luật.
Theo ghi chú của KrebsOnSecurity, việc sửa các vấn đề rò rỉ thông tin này là tương đối đơn giản, nhưng điều đáng chú ý là có bao nhiêu tổ chức gặp lỗ hổng, đặc biệt nếu công ty đó có liên kết với “Securus”.