Razer a accidentellement exposé les informations personnelles de plus de 100 000 clients pendant près d’un mois.
Un serveur mal configuré a récemment révélé des informations personnelles provenant de ce que l’on estime être au minimum 100 000 clients Razer. Le fait qu’aucune information sensible n’ait été exposée ne signifie pas que cela ne peut pas être dommageable. Les spammeurs utilisent constamment des sources comme celle-ci pour créer des bases de données à jour pour les campagnes de spam et de phishing.
Le chercheur indépendant en sécurité Volodymyr « Bob » Diachenko a été le premier à faire un rapport sur la question. Diachenko a déclaré qu’il avait immédiatement contacté le canal d’assistance de Razer, mais que son message n’avait jamais trouvé les bonnes personnes au sein de l’entreprise. Au lieu de cela, il a déclaré qu’il avait été traité par des responsables du support non technique pendant plus de trois semaines avant que le problème soit résolu.
Les données exposées auraient inclus les noms complets, les adresses e-mail, les numéros de téléphone, les numéros de commande et les numéros d’identification des clients ainsi que les adresses d’expédition et de facturation. Diachenko a déclaré qu’il faisait partie d’un gros morceau de journal stocké sur un cluster Elasticsearch qui avait été mal configuré depuis le 18 août. Pire encore, il était indexé par les moteurs de recherche publics.
Razer dans une déclaration à Diachenko a noté que le serveur mal configuré avait été corrigé le 9 septembre, ajoutant que les données sensibles telles que les mots de passe ou les numéros de cartes de paiement n’étaient pas exposées.
The Verge a déclaré que Razer avait confirmé le problème par e-mail, ajoutant que toute personne ayant des inquiétudes pouvait contacter le support client pour plus d’informations.
