Razer ha esposto accidentalmente i dati di oltre 100.000 clienti

Razer, un gigante dell’hardware di gioco di Singapore e degli Stati Uniti, ha subito una violazione dei dati che ha esposto le informazioni sui clienti di circa 100.000 persone online a seguito di un errore di configurazione.

Il ricercatore di sicurezza informatica Volodymyr “Bob” Diachenko ha scoperto un database non protetto da password appartenente a Razer a cui è possibile accedere tramite Internet.

Il database esposto conteneva informazioni su circa 100.000 persone, tra cui nome completo del cliente, indirizzo e-mail, numero di contatto, ID cliente interno, numeri d’ordine, dettagli dell’ordine, indirizzo di fatturazione e spedizione.

Secondo Diachenko, i dati facevano parte di un grosso blocco di log archiviato nel cluster Elasticsearch di un’azienda che era stato configurato in modo errato per l’accesso pubblico dal 18 agosto 2020 e indicizzato dai motori di ricerca pubblici.

Non è chiaro quanti clienti siano stati colpiti dal problema. “Il numero esatto di clienti interessati non è stato ancora valutato”, detto Diachenko, “In base al numero di e-mail esposte, stimerei che il numero totale di clienti interessati sarebbe di circa 100.000”.

Dopo la scoperta del database esposto, Diachenko ha immediatamente informato l’azienda attraverso il suo canale di supporto.

Ma nel suo rapporto, ha scritto: “Il mio messaggio non ha mai raggiunto le persone giuste all’interno dell’azienda ed è stato elaborato da responsabili dell’assistenza non tecnici per più di tre settimane fino a quando l’istanza non è stata protetta dall’accesso pubblico”.

Devo dire che ho apprezzato molto le mie conversazioni con diversi rappresentanti di @Razer team di supporto tecnico via e-mail nelle ultime settimane, ma non si sono avvicinati a proteggerci dalla violazione dei dati sui loro sistemi. pic.twitter.com/Z6YZ5wvejl

– Bob Diachenko (@MayhemDayOne) 1 settembre 2020

In una dichiarazione inviata a Diachenko, Razer ha dichiarato: “Il signor Volodymyr ci ha informato di una configurazione del server errata che potrebbe esporre i dettagli dell’ordine, le informazioni sui clienti e la spedizione. Nessun altro dato sensibile, come numeri di carta di credito o password, è stato esposto”.

Razer ha corretto la configurazione errata del server il 9 settembre, prima che il bug fosse reso pubblico.

“Vorremmo ringraziarvi, scusarci sinceramente per l’errore e abbiamo adottato tutte le misure necessarie per risolvere il problema, nonché per condurre una revisione approfondita della nostra sicurezza e dei nostri sistemi IT. Rimaniamo impegnati a garantire la sicurezza digitale di tutti i nostri clienti “, ha continuato la dichiarazione.

Diachenko ha avvertito i clienti che hanno acquistato prodotti dal negozio online di Razer che i loro record potrebbero essere utilizzati per lanciare attacchi di phishing mirati in cui il truffatore impersona Razer o una società collegata.

I clienti dovrebbero prestare attenzione ai tentativi di phishing inviati al loro telefono o indirizzo e-mail. E-mail o messaggi dannosi potrebbero indurre le vittime a fare clic su collegamenti a pagine di accesso false o a scaricare malware sui propri dispositivi.

Nel caso in cui ricevi un’e-mail che afferma di provenire da Razer, assicurati di accedere solo a razer.com e non ad altri siti.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *