Исследователь безопасности Владимир Дьяченко обнаружил брешь в системе безопасности производителя игровой периферии Razer. Как сообщает ресурс Ars Technica, Владимир нашёл плохо настроенный кластер Elasticsearch с заполненными PII (персональной идентифицирующей информацией) более 100 000 клиентов Razer. Самый смак в том, что кластер Elasticsearch не просто был доступен из вне, он даже индексировался поисковыми системами.
Это означает, что вся информация о клиенте, включая адрес электронной почты, физический адрес, номер телефона и прочее хранились ну почти что в открытом доступе, что сделало эту утечку потенциально опасной. На скриншоте выше приведён пример проиндексированной информации о клиенте. Владимир связался с Razer, указав на брешь в обороне.
Официальное заявление Razer выглядит следующим образом: “Г-н Владимир сообщил нам о неправильной конфигурации сервера, которая потенциально может раскрыть детали заказа, клиента и информацию о доставке. Никаких других конфиденциальных данных, таких как номера кредитных карт или пароли, раскрыто не было. Неправильная конфигурация сервера была исправлена 9 сентября, до того, как ошибка была обнародована. Мы хотели бы поблагодарить вас, искренне извиниться за упущение. Мы предприняли все необходимые шаги для решения проблемы, а также провели тщательную проверку нашей ИТ-безопасности и систем. Мы по-прежнему приверженцы цифровой безопасности для всех наших клиентов”.
Также Razer сообщила, что пострадавшие/заинтересованные клиенты по вопросу утечки данных могут обратиться по адресу DPO@razer.com для урегулирования вопроса.
Источники:
Techpowerup
Ars Technica