Razer a accidentellement exposé les informations personnelles de plus de 100 000 joueurs pendant près d’un mois, selon un nouveau rapport. L’information est apparue dans une fuite de données d’Elasticsearch — quelque chose qui ne devrait jamais, jamais être public.
Le chercheur en sécurité Volodymyr Diachenko a découvert que les données des clients sur le site Web de Razer ont été rendues publiques le 18 août en raison d’une mauvaise configuration du serveur. Un échantillon, présenté ci-dessous, montre les enregistrements des commandes passées sur la boutique numérique de l’entreprise, exposant des informations personnelles, notamment les adresses électroniques et postales, le type de produit commandé et les numéros de téléphone. Les informations relatives aux cartes de crédit n’ont pas été incluses.
La « bonne nouvelle » donc, ce sont les éléments clés qui n’ont pas été exposés. Aucun numéro de carte de crédit n’a été exposé, et aucun mot de passe n’a été révélé. Bien sûr, cela n’a rien à voir avec le fait que les informations personnelles, quelles qu’elles soient, ne devraient jamais être accessibles au public, quoi qu’il arrive.
Même si aucune information sensible sur les paiements n’a été exposée, les informations personnelles, y compris les adresses électroniques, peuvent être utilisées pour des campagnes de phishing afin d’obtenir des informations supplémentaires telles que des mots de passe pour des comptes en ligne ou des détails de paiement.
Si vous avez acheté un produit Razer par le passé et que vous recevez un e-mail ou un appel téléphonique à propos de cet achat, vous feriez bien de garder un œil sur la fraude. Ne fournissez jamais d’informations de quelque nature que ce soit à des appels téléphoniques ou des e-mails demandant des informations que vous ne donneriez pas à un étranger.
Une mauvaise configuration serveur
Vous trouverez des informations complémentaires dans le rapport principal du chercheur en sécurité Volodymyr « Bob » Diachenko sur LinkedIn (en anglais). Cette affaire est en cours depuis quelques semaines au moins — et elle n’est pas encore terminée ! Selon Diachenko, « le nombre exact de clients touchés n’a pas encore été évalué, car, à l’origine, il faisait partie d’un gros morceau de journal stocké sur le cluster Elasticsearch d’une entreprise, mal configuré pour un accès public depuis le 18 août 2020 et indexé par les moteurs de recherche publics ».
Selon la publication de ArsTechnica, Razer a proposé la note suivante sur le sujet : « Nous avons été informés par Volodymyr d’une mauvaise configuration du serveur qui a potentiellement exposé les détails de la commande, les informations sur les clients et l’expédition. Aucune autre donnée sensible telle que les numéros de carte de crédit ou les mots de passe n’ont été exposés ». Razer a poursuivi en indiquant que la « mauvaise configuration du serveur » a été corrigée le 9 septembre 2020, « avant que la défaillance ne soit rendue publique ». Razer a une adresse e-mail disponible pour les clients qui ont des inquiétudes sur la situation à [email protected].
