Data leak Razer espone online i dati di 100.000 clienti

Un errore di configurazione server ha esposto online i dati sensibili di circa 100.000 clienti del celebre marchio gaming Razer.

Consumer Vulnerabilità
È bastato un database non protetto per esporre online le informazioni sensibili di circa 100.000 clienti del negozio online di Razer. A scoprire l'accaduto è stato il consulente per la sicurezza Volodymyr Diachenko, che il 18 agosto scorso si è imbattuto in un cluster cloud Elasticsearch non configurato correttamente.

Il segmento interessato dell'infrastruttura di Razer rendeva visibili online dati quali il nome completo dei clienti e le rispettive email, numeri di telefono, ID interni, numeri e dettagli degli ordini, informazioni sulla fatturazione e l'indirizzo di spedizione.

Il giorno successivo Diachenko ha provveduto a informare Razer, noto marchio di prodotti per il gaming. Ha inoltre pubblicato una nota in cui precisa che "il numero esatto dei clienti coinvolti deve ancora essere valutato […] Sulla base del numero di email esposte, stimo il numero totale di clienti interessati a circa 100K".

L'aspetto peggiore della vicenda è che, a seguito della segnalazione della grave falla nella sicurezza, il problema è stato chiuso solo il 9 settembre. Secondo quanto riportato dal sito ThreatPost, Diachenko ha denunciato che il processo di correzione è stato "rimbalzato tra i responsabili del supporto per più di tre settimane", prima che l'istanza cloud venisse interdetta dall'accesso pubblico.
bob tweet
Un tempo durante il quale i cyber criminali avrebbero potuto sottrarre le informazioni e usarle per attacchi di social engineering e frodi. "I dati dei clienti potrebbero essere utilizzati dai criminali informatici per lanciare attacchi di phishing mirati", per questo tutte le persone potenzialmente coinvolte devono prestare particolare attenzione ai tentativi di phishing da cui potrebbero essere bersagliati.

Inoltre, chi ha acquistato di recente prodotti Razer dal sito ufficiale dell'azienda dovrebbe prestare molta attenzione alle comunicazioni provenienti da Razer stessa. Anziché cliccare su allegati inclusi in email o SMS, meglio collegarsi direttamente al sito web dell'azienda dal proprio browser. 

La risposta di Razer

In una dichiarazione ufficiale, Razer ha sottolineato che non sono stati divulgati i dettagli finanziari dei clienti, come i numeri delle carte di credito/debito e le password. "Siamo stati messi a conoscenza da un ricercatore di sicurezza di un errore di configurazione del server che potenzialmente esponeva i dettagli dell’ordine, le informazioni sul cliente e le informazioni sulla spedizione.

Non sono stati esposti dati sensibili quali numeri di carta di credito o password. L'errore di configurazione del server è stato risolto il 9 settembre, prima che la questione fosse resa pubblica.

Ci scusiamo per l’accaduto e abbiamo preso tutte le misure necessarie per risolvere il problema, oltre ad aver condotto una revisione approfondita della nostra sicurezza IT e dei nostri sistemi. Rimaniamo impegnati nel garantire la sicurezza digitale di tutti i nostri clienti.I clienti che hanno domande in merito possono contattare DPO@razer.com"
.

Razer e i problemi di sicurezza

Non è la prima volta che Razer viene coinvolta in problemi di cyber security. Nel 2019 i notebook di questo produttore furono soggetti a una vulnerabilità di sicurezza che avrebbe potuto permettere ai cyber criminali di mettere mano al BIOS e sfruttare vecchie vulnerabilità hardware, come Meltdown

Tutto fu risolto con una patch dopo due settimane di attesa, durante le quali sembra che molti computer siano stati esposti ad attacchi informatici.
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di SecurityOpenLab.it iscriviti alla nostra Newsletter gratuita.

Notizie correlate

Speciali Tutti gli speciali

Speciale

Come custodire al meglio i dati, dal backup in poi

Speciale

L'esigenza di una nuova cyber security

Speciale

Cloud Security: rischi e tecnologie per mettere in sicurezza il cloud

Speciale

Antimalware nel 2020: parola d'ordine Intelligenza Artificiale

Speciale

Sicurezza delle infrastrutture critiche nel 21mo secolo

Calendario Tutto

Nov 25
IDC Digital Forum: Multicloud 2020
Nov 26
Dell Technologies Forum Italia 2020
Dic 03
Dell Technologies Forum Italia 2020
Dic 10
Grande Slam 2020 Digital Edition

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter

contatori