È bastato un
database non protetto per
esporre online le informazioni sensibili di circa 100.000 clienti del negozio online di Razer. A scoprire l'accaduto è stato il consulente per la sicurezza Volodymyr Diachenko, che il 18 agosto scorso si è imbattuto in un cluster cloud Elasticsearch non configurato correttamente.
Il segmento interessato dell'infrastruttura di Razer rendeva visibili online dati quali il
nome completo dei clienti e le rispettive email, numeri di telefono, ID interni, numeri e dettagli degli ordini, informazioni sulla fatturazione e l'indirizzo di spedizione.
Il giorno successivo Diachenko ha provveduto a informare Razer, noto marchio di prodotti per il gaming. Ha inoltre pubblicato una nota in cui precisa che "
il numero esatto dei clienti coinvolti deve ancora essere valutato […] Sulla base del numero di email esposte, stimo il numero totale di clienti interessati a circa 100K".
L'aspetto peggiore della vicenda è che, a seguito della segnalazione della grave falla nella sicurezza,
il problema è stato chiuso solo il 9 settembre. Secondo quanto riportato dal sito
ThreatPost, Diachenko ha denunciato che il processo di correzione è stato "rimbalzato tra i responsabili del supporto per più di tre settimane", prima che l'istanza cloud venisse interdetta dall'accesso pubblico.
Un tempo durante il quale i cyber criminali avrebbero potuto sottrarre le informazioni e usarle per attacchi di
social engineering e frodi. "I dati dei clienti potrebbero essere utilizzati dai criminali informatici per lanciare
attacchi di phishing mirati", per questo tutte le persone potenzialmente coinvolte devono prestare particolare attenzione ai tentativi di phishing da cui potrebbero essere bersagliati.
Inoltre, chi ha acquistato di recente prodotti Razer dal sito ufficiale dell'azienda dovrebbe prestare molta attenzione alle comunicazioni provenienti da Razer stessa. Anziché cliccare su allegati inclusi in email o SMS, meglio collegarsi direttamente al sito web dell'azienda dal proprio browser.
La risposta di Razer
In una dichiarazione ufficiale, Razer ha sottolineato che
non sono stati divulgati i dettagli finanziari dei clienti, come i numeri delle carte di credito/debito e le password. "
Siamo stati messi a conoscenza da un ricercatore di sicurezza di un errore di configurazione del server che potenzialmente esponeva i dettagli dell’ordine, le informazioni sul cliente e le informazioni sulla spedizione.
Non sono stati esposti dati sensibili quali numeri di carta di credito o password. L'errore di configurazione del server è stato risolto il 9 settembre, prima che la questione fosse resa pubblica.
Ci scusiamo per l’accaduto e abbiamo preso tutte le misure necessarie per risolvere il problema, oltre ad aver condotto una revisione approfondita della nostra sicurezza IT e dei nostri sistemi. Rimaniamo impegnati nel garantire la sicurezza digitale di tutti i nostri clienti.I clienti che hanno domande in merito possono contattare DPO@razer.com".
Razer e i problemi di sicurezza
Non è la prima volta che Razer viene coinvolta in problemi di cyber security. Nel 2019 i notebook di questo produttore furono soggetti a una vulnerabilità di sicurezza che avrebbe potuto permettere ai cyber criminali di mettere mano al BIOS e sfruttare vecchie vulnerabilità hardware, come
Meltdown.
Tutto fu risolto con una patch dopo due settimane di attesa, durante le quali sembra che molti computer siano stati esposti ad attacchi informatici.