Razer, gigante de games, vaza dados de 100.000 clientes
Uma configuração incorreta da nuvem no comerciante de equipamentos de jogos expôs potencialmente 100.000 clientes a phishing e fraude.
Estima-se que 100.000 clientes da Razer, fornecedora de equipamentos para jogos de última geração, desde laptops até roupas, tiveram suas informações privadas expostas, de acordo com um pesquisador.
O consultor de segurança Bob Diachenko encontrou um cluster na nuvem com um Elasticsearch mal configurado que expôs um segmento da infraestrutura da Razer à Internet pública, para que todos pudessem ver. Lá continha uma série de informações úteis para os cibercriminosos, incluindo nome completo, e-mail, número de telefone, ID interno do cliente, número do pedido, detalhes do pedido, faturamento e endereço de entrega.
Diachenko disse que estimou o número de clientes afetados – o Threatpost entrou em contato com a Razer para obter mais detalhes.
“O número exato de clientes afetados ainda não foi avaliado, pois originalmente era parte de um grande bloco de log armazenado no cluster Elasticsearch de uma empresa configurado incorretamente para acesso público desde 18 de agosto de 2020 e indexado por mecanismos de busca públicos”, disse ele, em uma postagem no LinkedIn na quinta-feira. “Com base no número de e-mails expostos, eu estimaria o número total de clientes afetados em cerca de 100 mil.”
Ele disse que descobriu o banco de dados exposto em 18 de agosto e, em 19 de agosto, notificou a empresa sobre o problema. Depois de obter um tíquete de suporte e um número de caso por meio do canal de suporte da Razer, o processo de remediação foi paralisado por ser alternado entre gerentes de suporte não técnico por mais de três semanas, disse ele.
Finalmente, a instância da nuvem foi protegida do acesso público.
Não há como saber se o banco de dados foi acessado por outros internautas mais nefastos, mas Diachenko apontou que as informações poderiam ser usadas em ataques de engenharia social e fraude.
“Os registros do cliente podem ser usados por criminosos para lançar ataques de phishing direcionados em que o golpista se apresenta como Razer ou uma empresa relacionada”, escreveu ele. “Os clientes devem estar atentos às tentativas de phishing enviadas para seus telefones ou endereços de e-mail. E-mails ou mensagens maliciosas podem encorajar as vítimas a clicar em links para páginas de login falsas ou baixar malware em seus dispositivos. ”
Alguns clientes da Razer pareciam cansados com a notícia:
Cloud Misconfigs Continue Apace
As configurações incorretas da nuvem que levam a vazamentos de dados e violações estão longe de ser incomuns – na verdade, um relatório da Unidade 42 da Palo Alto Networks do início deste ano descobriu que mais da metade (60 por cento) das violações ocorrem na nuvem pública devido à configuração incorreta.
Em abril, por exemplo, Key Ring, criador de um aplicativo de carteira digital usado por 14 milhões de pessoas na América do Norte, descobriu que expôs 44 milhões de IDs, cartões de crédito, cartões de fidelidade, cartões-presente e cartões de associação à Internet aberta por meio de uma Amazon Web Servidor de serviços S3.
Em junho, um depósito de armazenamento em nuvem da AWS que foi deixado aberto para a Internet pública expôs milhares de informações pessoais de usuários do Joomla. E em julho, um servidor ElasticSearch exposto pertencente ao Software MacKiev colocou 60.000 usuários do software Family Tree Maker em risco.
“O uso da nuvem permite que as organizações alcancem seus objetivos e escalem com facilidade”, disse Anurag Kahol, CTO da Bitglass, por e-mail. “À medida que mais organizações adotam ferramentas baseadas em nuvem para obter uma vantagem competitiva, a taxa de uso de aplicativos em nuvem aumenta simultaneamente. No entanto, a maioria das organizações não está equipada para lidar com as demandas de segurança da nuvem. Na verdade, 86% das empresas implantam aplicativos em nuvem, mas apenas 34% possuem soluções de logon único (SSO), demonstrando uma lacuna enorme na adoção da nuvem e nas soluções de segurança na nuvem necessárias. ”
Um dos problemas em jogo é que os desenvolvedores se acostumaram a implantar aplicativos em data centers com o que poderia ser descrito como uma “camada externa rígida e crocante”, para manter seu data center seguro. Mas quando se trata de nuvem pública, “simplesmente não existe dessa forma”, disse Ryan Olson, vice-presidente de inteligência de ameaças da equipe de pesquisa da Unidade 42, ao Threatpost , acrescentando que a mudança está levando a escolhas de configuração de nuvem ruins , que por sua vez estão deixando dados confidenciais expostos.
“Deixar um banco de dados acessível ao público com informações do cliente é, infelizmente, uma ocorrência comum, mas é um dos riscos de segurança mais básicos a evitar”, concluiu Kahol. “No futuro, as organizações devem adotar uma abordagem mais pró-ativa e holística para a segurança na nuvem, a fim de identificar e remediar configurações incorretas e garantir que os dados confidenciais sejam protegidos. Ao implementar soluções multifacetadas que reforçam o controle de acesso em tempo real, detectam configurações incorretas por meio do gerenciamento de postura de segurança na nuvem, criptografam dados confidenciais em repouso, gerenciam o compartilhamento de dados com partes externas e evitam o vazamento de dados, as organizações podem garantir a privacidade e segurança de pessoas confidenciais em formação.”
Fonte: https://threatpost.com/razer-gaming-fans-data-leak/159147/
