Razer pomotoma objavil podatke 100.000 uporabnikov
Dare Hriberšek
15. sep 2020 ob 16:45:00
Varnostni raziskovalec Volodimir Diačenko je razkril, da je Razer, znani ponudnik računalniške periferije, 8. avgusta nehote javno objavil podatke svojih strank, shranjene na njihovi spletne strani. Šlo je za podatkovno gručo v Elasticsearchu, ki je bila ne le dostopna javnosti, pač pa so jo ves čas indeksirali tudi javni iskalni pogoni.
Krivec? Napačna konfiguracija strežnika. Objavljeni so bili podatki, povezani z njihovo spletno trgovino, denimo email in fizični naslov uporabnika, vsebina naročila in telefonska številka. Med njimi pa ni bilo gesel ali pa podatkov o plačilnih karticah. Kljub temu gre za nedopustno malomarnost, saj gre za podatke, s katerimi je mogoče precej učinkoviteje zastaviti kako bodočo kampanjo phishinga in si na ta način pridobiti še kake druge, bolj usodne osebne podatke, denimo o plačilni kartici.
Še slabše so se pri Razerju odrezali, ko gre za hiter in dejaven odziv na opozorilo o napaki. Diačenko jih je o svojem odkritju poskušal obvestiti nekajkrat, a so si njegovo prijavo cele tri tedne podajali kot vroč krompir, ne da bi mu sploh odgovorili, kaj šele ukrepali. Napako na strežniku so tako odpravili šele 9. septembra. V svojem odzivu za javnost se niti niso preveč trudili s kakim posipanjem s pepelom, pač pa so pomen dogodka poskušali minimizirati, češ, da izpostavljeni podatki niso bili občutljivi osebni podatki. Kar, kot rečeno, ne drži.