En allvarlig säkerhetsbrist har blivit upptäckt när en databas, kopplad till den populära betalningsplattformen Invoicely, lämnades utan lösenord och utan kryptering, vilket gjorde den tillgänglig för allmänheten. Cybersecurity forskaren Jeremiah Fowler var den första att identifiera felet.

Invoicely, med bas i Wien (ägt av Stack Holdings GmbH), är en molnbaserad plattform som hjälper användare med att skapa offerter, hantera fakturor, skicka betalningspåminnelser och spåra tidsuppgifter och fordonens körsträcka. Plattformen används av över 250000 företag globalt.

Databasen innehöll 178519 filer, inklusive fakturor, en mängd skattedokument, bilder på checkar och bankuppgifter. Filerna var i vanliga format som CSV och PDF. Utöver detta inkluderades Personligt Identifierbar Information (PII), såsom namn, adress, telefonnummer och skatteidentifieringsnummer. Forskaren upptäckte även privata dokument som flygbiljetter och medicinska betalningskvitton.

Denna typ av exponering innebär allvarliga risker för identitetsstöld och finansiell bedrägeri. Tillsammans med namn och adress kan cyberkriminella skräddarsy attacker, inklusive spear-phishing. Dessutom kan exponeringen av fakturor användas för fakturafordon, där bedragare lurar företag att göra falska betalningar. En undersökning från 2024, den årliga AFP Payments Fraud and Control Survey, visar att 80% av organisationer upplevt någon form av fakturafordon-attack 2023.

För att undvika liknande problem bör organisationer som hanterar liknande känsliga data kryptera informationen för att göra det "extremt svårt att få tillgång till utan rätt behörigheter", även om databasen exponeras. Det är ännu okänt hur länge informationen var tillgänglig och om någon obehörig person faktiskt hade tillgång till den, trots att Invoicely snabbt drog databasen offline efter att forskaren meddelat saken, en standardpraxis som kallas “responsible disclosure”. Användare uppmanas därför att implementera multi-factor authentication och undvika att återanvända lösenord.