Jerry’s Store, a card-checking service used by cybercriminals, exposed 345,000 stolen payment cards after leaving its server open, revealing sensitive data.

A cybercriminal operation known as Jerry’s Store has reportedly exposed a large cache of stolen payment card data after leaving its own infrastructure accessible online. The service appears to have been used to test whether stolen credit and debit card details were still valid, effectively acting as a verification tool for fraudsters before the data was resold or abused.

“Jerry’s Store marketplace leaked 345,000 stolen credit card details through an exposed, insecurely configured server created using AI assistance.” reads the report published by CyberNews.

“The leak occurred after Cursor AI generated flawed code without authentication, exposing credit card numbers, names, addresses, and security codes.”

Researchers found that the exposed server contained information linked to roughly 345,000 payment cards. Of those, nearly 200,000 cards had been marked as invalid by the service, while more than 145,000 records were identified as valid. The leaked records reportedly included highly sensitive cardholder data such as card numbers, expiration dates, security codes, names, and billing addresses. Cybernews

The incident is notable not only because of the volume of exposed data, but also because it shows how organized and automated parts of the carding economy have become. Instead of manually checking stolen cards one by one, criminal marketplaces and fraud services increasingly rely on infrastructure that can validate payment data at scale. Once a card is confirmed as active, it becomes more valuable for resale, fraud attempts, or account takeover activity.

Cybernews estimated that valid stolen card records typically sell for around $7 to $18 on dark web markets. Using that range, the valid card data exposed through Jerry’s Store could be worth between $1 million and $2.6 million. The true value of the broader operation may be higher, since the platform reportedly handled more than just the leaked payment-card records.

CyberNews researchers found that Jerry’s Store operators used Cursor, an AI coding tool by Anysphere, to build their server and admin dashboards. However, flawed guidance from the AI likely led to misconfigurations, leaving the system exposed and causing the data leak.

“We were able to confirm that the leak originated from the user asking to create a statistics dashboard, and Cursor created an unauthenticated open web directory to serve the webpage, ignoring the need to set up authentication or ensure that only the intended dashboard would be accessible,” CyberNews team explained.

The case is ironic: a cybercriminal service built to profit from stolen card data exposed itself due to poor security. This failure creates added risk for victims, as data already circulating in underground markets can spread further, reaching new attackers who did not originally steal it.

The story also highlights a wider trend in cybercrime: illicit services are becoming more productized. Carding shops, validation tools, automated fraud services, and dark web marketplaces increasingly resemble commercial platforms, with pricing models, customer interfaces, and backend infrastructure. Rapid7 has described this broader ecosystem as “carding-as-a-service,” where stolen cards and fraud tooling are packaged for easier use by criminals with varying levels of technical skill.

A similar pattern has been seen in other carding-related incidents. BidenCash, a carding-focused marketplace, became known for releasing large batches of stolen payment-card data as a promotional tactic to attract users and vendors.

Law enforcement has also targeted related ecosystems. In a case involving B1ack’s Stash, authorities seized domains tied to underground vendors trafficking stolen financial data, including payment-card records. That case underlines how carding markets remain a priority for investigators because they support a chain of downstream crimes, from unauthorized purchases to identity theft and money laundering.

Consumers should closely monitor accounts, enable alerts, use virtual cards, and replace compromised ones. Banks must strengthen fraud detection, quickly block stolen cards, and monitor underground markets.

The Jerry’s Store leak shows that even cybercriminal platforms can have weak security. When they fail, the impact still hits ordinary users, whose stolen card data may spread further and be reused, traded, and exploited across the fraud ecosystem.

Follow me on Twitter: @securityaffairs and Facebook and Mastodon

Pierluigi Paganini

(SecurityAffairs – hacking, Jerry’s Store)

Eurail B.V. revealed that traveler data were stolen in a recent security breach, and are now being sold on the dark web.

Eurail B.V. confirmed that the traveler data stolen in a breach earlier this year is now being offered for sale on the dark web. The company disclosed the development as part of its ongoing response to the cybersecurity incident.

“Eurail B.V. has confirmed that certain customer data affected by the previously reported security incident has been offered for sale on the dark web and a sample data set has been published on Telegram.” reads the statement published by the company. “We are continuing to investigate the scope and impact.”

Eurail B.V. is a Netherlands-based company that manages and sells the Eurail Pass, allowing international travelers to explore Europe by train with a single ticket. Working with dozens of railway and ferry partners, it provides access to more than 250,000 kilometers of rail routes across over 30 European countries, simplifying cross-border rail travel.

Eurail B.V. confirmed a security breach that led to unauthorized access to customer data, including participants in the European Commission’s DiscoverEU program. The company said it quickly secured its systems and launched an investigation with the help of external cybersecurity and legal experts.

Early findings indicate the breach may involve order and reservation details, basic identity and contact data, travel companion information, and in some cases passport numbers and expiry dates.

“The personal data affected may include data that you have provided (where applicable):

• name, surname, date of birth or age, passport/ID information or photocopies,
• email address, postal address and country of residence, phone number,
• bank account reference (IBAN),
• data concerning health.” reads a company update published in January.  

The company pointed out it does not store payment card data or passport copies. The company notified authorities in compliance with the GDPR regulation.

Eurail B.V. said customers whose data may have been accessed or published will be informed directly when contact details are available. They urge vigilance against suspicious calls, emails, or messages requesting personal information and stress that Eurail will never request sensitive data unsolicited. Customers should update their Rail Planner app password, review related email, social media, or banking passwords, monitor accounts for unusual activity, and report any concerns to their bank.

Further guidance is available via Eurail’s customer support center.

Follow me on Twitter: @securityaffairs and Facebook and Mastodon

Pierluigi Paganini

(SecurityAffairs – hacking, Eurail)

A Taiwanese man was sentenced to 30 years for running Incognito Market, a major darknet drug site that sold over $105 million in illegal drugs.

Rui-Siang Lin (24) was sentenced to 30 years in prison for running Incognito Market, a major darknet drug marketplace that sold over one ton of narcotics. The Taiwanese man pled guilty in December 2024.

“United States Attorney for the Southern District of New York, Jay Clayton, announced that RUI-SIANG LIN was sentenced to 30 years in prison for conspiring to distribute narcotics, money laundering, and conspiring to sell adulterated and misbranded medication, in connection with LIN’s ownership and operation of the Incognito Market, an online narcotics marketplace that sold more than one ton of narcotics before its closure in March 2024.” reads the press release published by DoJ.

Incognito Market ran on the dark web from 2020 to 2024 and sold over $105 million in drugs worldwide. Operated by Rui-Siang Lin under the alias “Pharaoh,” the site trafficked massive amounts of cocaine, meth, and other narcotics, including fentanyl-laced pills. Lin controlled every part of the operation, from vendors to customers.

The marketplace worked like a polished online shop for drugs. Users logged in, browsed thousands of listings, and paid with crypto. Vendors paid a 5% fee on each sale, the platform supported a built-in crypto “bank” to handle payments and kept buyers and sellers anonymous.

LIN co-founded Incognito Market in October 2020, took control by early 2022, and shut it down in March 2024 while operating from places including St. Lucia. Despite running a major dark web drug market, he even led a local police training on cybercrime and crypto. Under his leadership, Incognito grew to over 400,000 buyers, 1,800 vendors, and more than 640,000 drug transactions. He allowed opiate sales, including fake “oxycodone” that was actually fentanyl, linked to at least one fatal overdose. When closing the site, LIN stole over $1 million in user funds and tried to extort users by threatening to expose their data.

“In imposing the sentence, Judge McMahon stated to the defendant that Incognito Market was “a business that made [him] a drug kingpin,” and that this was the “most serious drug crime I have ever been confronted with in 27.5 years.”” continues the press release.

Along with the prison sentence, LIN received five years of supervised release and was ordered to forfeit about $105 million.

“Rui-Siang Lin was one of the world’s most prolific drug traffickers, using the internet to sell more than $105 million of illegal drugs throughout this country and across the globe,” said U.S. Attorney Jay Clayton.  “While Lin made millions, his offenses had devastating consequences.  He is responsible for at least one tragic death, and he exacerbated the opioid crisis and caused misery for more than 470,000 narcotics users and their families.  Today’s sentence puts traffickers on notice: you cannot hide in the shadows of the Internet.  And our larger message is simple: the internet, ‘decentralization,’ ‘blockchain’—any technology—is not a license to operate a narcotics distribution business.”

Follow me on Twitter: @securityaffairs and Facebook and Mastodon

Pierluigi Paganini

(SecurityAffairs – hacking, dark web)

Vazamento global: Brasil lidera com mais de 7 bilhões de cookies roubados

Pesquisa da NordVPN revela que o Brasil ocupa o 1º lugar entre 235 países no vazamento de cookies, com mais de 7 bilhões de registros, dos quais 550 milhões ainda estão ativos 

O Brasil desponta como o país com o maior volume de cookies vazados no mundo, conforme aponta nova pesquisa realizada pela NordVPN. De acordo com os dados, entre os quase 94 bilhões de cookies vazados encontrados na dark web, mais de 7 bilhões são originários de usuários brasileiros. O levantamento também revela que aproximadamente 550 milhões desses cookies ainda estão ativos e vinculados a atividades reais de usuários.

Apesar dos cookies serem vistos como úteis para melhorar experiências online, muitos não percebem que hackers podem explorá-los para roubar dados pessoais e acessar sistemas seguros. No contexto brasileiro, o volume de vazamentos é significativamente maior em relação aos demais países, com Índia, Indonésia, Estados Unidos e Vietnã, completando a lista dos cinco primeiros colocados.

Apesar de parecer inofensivos, os cookies vazados não contêm apenas informações triviais. Entre os dados expostos estão nomes completos, endereços de e-mail, senhas, cidades e até mesmo endereços físicos dos usuários. Portanto, esses dados podem ser utilizados por criminosos para cometer fraudes, roubo de identidade e invasões de contas online, colocando em risco a segurança digital de milhões de pessoas.

O especialista em cibersegurança da NordVPN, Adrianus Warmenhoven, alerta sobre os perigos dessa exposição. “Cookies podem parecer inofensivos, mas, nas mãos erradas, eles se tornam verdadeiras chaves digitais para nossas informações mais privadas.”, explica.

Número de cookies vazados em alta

A pesquisa revela que o número de cookies vazados subiu drasticamente nos últimos anos. Em 2024, eram 54 bilhões, enquanto em 2025 o número já ultrapassa os 94 bilhões — um aumento de 74%. Grande parte dos cookies vazados está relacionada a grandes plataformas, como Google (4,5 bilhões), YouTube (1,33 bilhões), Microsoft (1,1 bilhões) e Bing (1 bilhão).

O estudo também identificou que 38 tipos de malwares foram usados para roubar os cookies. O Redline lidera a lista, responsável por mais de 41,6 bilhões de vazamentos. Outros malwares, como Vidar (10 bilhões) e LummaC2 (9 bilhões), também contribuíram para a coleta de dados sensíveis.

O que são cookies e por que são importantes?

Os cookies são pequenos arquivos de texto que os sites armazenam no navegador do usuário para lembrar preferências, detalhes de login e comportamento de navegação. Esses arquivos desempenham um papel essencial na personalização da experiência online, permitindo que as páginas carreguem mais rapidamente e mantenham as configurações personalizadas do usuário.

Os cookies facilitam a navegação ao manter o usuário conectado, salvar itens no carrinho de compras e oferecer recomendações personalizadas com base no histórico de navegação. Sem eles, as interações online seriam menos práticas e personalizadas.

Tipos de cookies mais comuns:

• Cookies de sessão: Expiram ao fechar o navegador e são usados para manter o usuário conectado durante a navegação.
• Cookies persistentes: Permanecem no dispositivo após fechar o navegador, lembrando preferências e login em visitas futuras.
• Cookies de rastreamento: Monitoram as atividades online para oferecer anúncios direcionados e entender o comportamento do usuário.

Embora sejam úteis, os cookies podem representar riscos se caírem nas mãos erradas. Hackers podem roubar esses arquivos para acessar contas pessoais sem precisar de login, já que muitos cookies contêm tokens de sessão que mantêm a conexão ativa.

Formas simples de proteger seus dados

Diante dos dados alarmantes, a NordVPN recomenda que os usuários devem adotar formas simples de proteção que podem ajudar a prevenir roubo de dados. “As pessoas costumam fechar o navegador, mas a sessão ainda está ativa. Limpar os dados do site ajuda a minimizar os riscos”, diz Warmenhoven.

• Use senhas fortes e únicas para cada conta e ative a autenticação multifator (MFA).
• Evite compartilhar informações pessoais e clicar em links suspeitos.
• Mantenha seus dispositivos atualizados para bloquear malwares antes que comprometam seu sistema.
• Limpe regularmente os dados do site para reduzir a chance de acesso não autorizado.
• Verifique as configurações de privacidade das contas online para garantir que apenas serviços confiáveis possam acessar seus dados.

Metodologia

Os dados da pesquisa realizada entre 23 e 30 de abril foram compilados em parceria com pesquisadores independentes especializados em pesquisa de incidentes de segurança cibernética.

Os pesquisadores utilizaram dados coletados de canais do Telegram onde hackers anunciam quais informações roubadas estão disponíveis para venda. Isso levou a um conjunto de dados com informações sobre mais de 93,76 bilhões de cookies.

Os pesquisadores analisaram se os cookies estavam ativos ou inativos, qual malware foi usado para roubá-los, de qual país eles eram, bem como quais dados continham sobre a empresa que os criou, o sistema operacional do usuário e as categorias de palavras-chave atribuídas aos usuários.

A NordVPN não comprou cookies roubados nem acessou o conteúdo dos cookies, examinando apenas os tipos de dados contidos neles.

Sobre a NordVPN

A NordVPN é o provedor de serviços VPN mais avançado do planeta, usado por milhões de usuários de internet no mundo todo. A NordVPN fornece dupla criptografia VPN e Onion Over VPN, garantindo privacidade com rastreamento zero. Um dos principais recursos do produto é a Proteção Contra Ameaças, que bloqueia sites maliciosos, malware, rastreadores e anúncios maliciosos. É muito fácil de usar, oferece um dos melhores preços do mercado e possui mais de 6,2 mil servidores em 111 países. Para mais informações, acesse: nordvpn.com.

Os números não deixam dúvidas: o setor da saúde segue como um dos alvos preferenciais dos cibercriminosos no mundo. Segundo o Data Breach Investigations Report (DBIR) 2025, divulgado pela Verizon no dia 23 de abril, foram mais de 1.700 incidentes de segurança registrados na área médica entre novembro de 2023 e outubro de 2024. Destes, um assustador volume de 1.542 resultou em vazamentos de dados, muitos expostos por cibercriminosos em sites e fóruns na Dark e Deep Web.

O levantamento é considerado uma das maiores referências globais sobre segurança digital. Neste ano, analisou mais de 22 mil incidentes, com 12.195 violações de dados confirmadas em organizações de 139 países.

A saúde ficou atrás apenas do setor industrial, que acumulou 1.607 violações no mesmo período. “Os dados médicos são altamente sensíveis e valiosos. Por isso, o setor virou uma espécie de mina de ouro para os cibercriminosos”, explica Anchises Moraes, especialista da Apura Cyber Intelligence, que pelo sétimo ano consecutivo é uma das colaboradoras do relatório, levando dados do cenário brasileiro para esse levantamento global.

Segundo o relatório, 45% das violações miraram dados médicos, enquanto 40% afetaram dados pessoais, como nomes, endereços e números de documentos.

Os principais caminhos para as violações continuam sendo os mesmos: intrusões, falhas humanas e erros diversos, responsáveis por 74% dos casos. Já sobre quem promove os ataques, a maioria vem de fora: 67% são atribuídos a agentes externos. Mas o risco interno também é alto: 30% dos incidentes foram causados por pessoas com acesso legítimo aos sistemas. Os parceiros, por sua vez, responderam por 4% das investidas.

A maioria das invasões teve motivações financeiras: 90% dos ataques buscaram lucro direto com extorsão ou venda de dados. Contudo, um dado chama a atenção: os ataques movidos por espionagem saltaram de 1% em 2023 para 16% em 2024, um crescimento que, segundo Moraes, é “expressivo e preocupante”.

“Esse é um dos grandes desafios: muitas vezes, quem está dentro da organização facilita ou executa o ataque”, alerta Moraes. Para ele, a resposta precisa ir além de barreiras tecnológicas. “É preciso investir em treinamento, conscientização e controles rigorosos.”

Outra mudança detectada pelo DBIR 2025: os ataques de ransomware e invasões sofisticadas superaram, pela primeira vez, os erros humanos como causa dos incidentes, que lideravam o ranking até 2023. A escalada preocupa, especialmente em hospitais, onde a indisponibilidade de sistemas por um ataque de ransomware pode comprometer o atendimento e colocar vidas em risco. A América Latina também figura no relatório com destaque: foram 657 incidentes na região, sendo 413 com vazamentos confirmados.

“Depois que um ataque acontece, o desespero toma conta, e isso dá ainda mais vantagem aos criminosos”, afirma Moraes. “Não basta ter rotinas de segurança, sistemas de proteção robustos e, principalmente, investir em educação protetiva cibernética para reduzir o risco de um ataque bem-sucedido”, destaca. “É fundamental investir em medidas preventivas e pró-ativas, como monitoramento de ameaças, e construir um sólido plano de resposta a incidentes, para minimizar o impacto e retomar rapidamente a operação caso o pior aconteça”.

O relatório completo pode ser acessado gratuitamente no site da Verizon: https://www.verizon.com/business/resources/reports/dbir/.