行业新闻与博客

Razer Gaffe 公开客户数据

错误配置后,在线上公开了大约 100,000 Razer 客户的数据  。



 网络安全专家 Volodymyr“ Bob” Diachenko 发现了全球硬件制造公司,电子竞技和金融服务提供商的  失职。



受网络滑动影响的客户数据包括全名,电子邮件,电话号码,客户内部 ID,订单号,订单详细信息以及帐单和送货地址。



根据 Diachenko 的说法,数据是存储在 Razer 的 Elasticsearch 集群中的相当大的日志块的一部分,该集群“自 2020年8月18日以来就被错误地配置为可供公众访问,并且实际上是由公共搜索引擎配置的”。 



独立的网络安全顾问兼 SecurityDiscovery.com 的所有者表示,目前尚不清楚到底有多少客户受到该问题的影响。



迪亚琴科说:“受影响的客户的确切数量尚待评估,根据公开的电子邮件数量,我估计受影响的客户总数约为 10 万。”



向 Razer 报告配置错误是 Diachenko 沮丧的过程。 



他说:“我已立即通过他们的支持渠道通知公司有关此次曝光的消息,但是我的信息从未传达给公司内部合适的人,并且由非技术支持经理处理了 3 个多星期,直到实例被公开访问。”



 Razer 在发给 Diachenko 的一份  声明中说:“ Volodymyr 先生通知我们,服务器配置错误,可能会暴露订单详细信息,客户和运输信息。没有暴露其他敏感数据,例如信用卡号或密码。”



Razer 说,它已在 9月9日修复了服务器配置错误。该公司感谢 Diachenko 报告了他们的错误,并表示“将对我们的 IT 安全和系统进行彻底的审查”。



迪亚琴科警告 Razer 客户,他们可能有遭受欺诈的风险,并有可能受到可能访问了数据的犯罪分子的针对性网络钓鱼攻击。 



“离开数据库可公开访问的,不受保护的,甚至没有密码,是海量数据泄密背后还可以预防常见的原因,”评论的技术副总裁,云安全的做法,在克里斯 DeRamus,  Rapid7。 



“实际上,在 2018年和 2019年由云配置错误导致的违规暴露了总计近 334 亿条记录。”



本文由机器译制