O lapso da empresa global de fabricação de hardware e do provedor de serviços financeiros e de eSports foi descoberto pelo especialista em segurança cibernética Volodymyr “Bob” Diachenko.
Os dados do cliente afetados pelo deslize cibernético incluem nome completo, e-mail, número de telefone, ID interno do cliente, número do pedido, detalhes do pedido e endereço de cobrança e envio.
De acordo com Diachenko, os dados faziam parte de um grande bloco de log armazenado no cluster Elasticsearch da Razer que havia sido “configurado incorretamente para acesso público desde 18 de agosto de 2020 e, de fato, por mecanismos de pesquisa públicos”.
O consultor independente de cibersegurança e proprietário da SecurityDiscovery.com disse que não estava claro exatamente quantos clientes foram afetados pelo problema.
“O número exato de clientes afetados ainda está para ser avaliado”, disse Diachenko, “com base no número de e-mails expostos, eu estimaria o número total de clientes afetados em cerca de 100 mil.”
Reportar o erro de configuração incorreta à Razer foi um processo frustrante para Diachenko.
Ele disse: “Notifiquei imediatamente a empresa por meio de seu canal de suporte sobre a exposição, no entanto, minha mensagem nunca alcançou as pessoas certas dentro da empresa e foi processada por gerentes de suporte não técnico por mais de 3 semanas até que a instância fosse protegida do acesso público . “
Em um comunicado enviado a Diachenko, Razer disse: “Fomos informados pelo Sr. Volodymyr sobre uma configuração incorreta do servidor que potencialmente expôs detalhes do pedido, informações do cliente e de envio. Nenhum outro dado confidencial, como números de cartão de crédito ou senhas, foi exposto.”
A Razer disse que corrigiu a configuração incorreta do servidor em 9 de setembro. A empresa agradeceu a Diachenko por relatar o erro e disse que iria “realizar uma revisão completa de nossos sistemas e segurança de TI”.
Diachenko alertou os clientes da Razer que eles podem correr o risco de fraude e ataques de phishing direcionados perpetrados por criminosos que podem ter acessado os dados.
“Deixar um banco de dados acessível ao público, desprotegido, mesmo sem uma senha, é uma causa evitável, mas comum, por trás de vazamentos massivos de dados”, comentou Chris DeRamus, vice-presidente de tecnologia, prática de segurança em nuvem da Rapid7 .
“Na verdade, as violações causadas por configurações incorretas da nuvem em 2018 e 2019 expuseram quase 33,4 bilhões de registros no total.”
Fonte: https://www.infosecurity-magazine.com/news/razer-gaffe-exposes-customer-data/
Uma cidade na Carolina do Norte e um escritório de advogados distritais cobrindo quatro condados…
O surgimento da Nytheon AI marca uma escalada significativa no cenário das plataformas (LLM) de…
Um pesquisador de segurança revelou uma vulnerabilidade crítica de injeção de SOQL no controlador interno…
Falha permite que invasores manipulem o agente de um usuário por meio de um problema…
Um exploit de dia zero, dirigido aos firewalls FortiGate da Fortinet, foi descoberto à venda…
A família SHELBY mostra um exemplo preocupante de malware moderno com design modular, sofisticado e…