Los datos privados se hacen públicos: Razer filtra información personal de más de 100.000 jugadores

Este registro de muestra redactado de los datos filtrados de Elasticsearch muestra la compra de una computadora portátil para juegos de $ 2,600 el 24 de junio.
Agrandar / Este registro de muestra redactado de los datos filtrados de Elasticsearch muestra la compra de una computadora portátil para juegos de $ 2,600 el 24 de junio.

En agosto, el investigador de seguridad Volodymyr Diachenko descubrió un clúster de Elasticsearch mal configurado, propiedad del proveedor de hardware para juegos Razer, que exponía la PII (Información de identificación personal) de los clientes.

El grupo contenía registros de pedidos de clientes e incluía información como el artículo comprado, el correo electrónico del cliente, la dirección (física) del cliente, el número de teléfono, etc., básicamente, todo lo que esperaría ver de una transacción con tarjeta de crédito, aunque no el crédito. los mismos números de tarjeta. El clúster de Elasticseach no solo fue expuesto al público, sino que fue indexado por motores de búsqueda públicos.

Diachenko informó el clúster mal configurado, que contenía aproximadamente 100.000 datos de usuarios, a Razer inmediatamente, pero el informe pasó de un representante de soporte a otro durante más de tres semanas antes de ser reparado.

Razer ofreció la siguiente declaración pública sobre la filtración:

El Sr. Volodymyr nos informó de una configuración incorrecta del servidor que potencialmente exponía los detalles del pedido, la información del cliente y del envío. No se expuso ningún otro dato sensible, como números de tarjetas de crédito o contraseñas.

El error de configuración del servidor se solucionó el 9 de septiembre, antes de que se hiciera público el error.

Nos gustaría agradecerle, disculparnos sinceramente por el error y haber tomado todas las medidas necesarias para solucionar el problema, así como realizar una revisión exhaustiva de nuestros sistemas y seguridad de TI. Seguimos comprometidos con garantizar la seguridad digital de todos nuestros clientes.

Razer y la nube

Esta captura de pantalla de la interfaz de Synapse 3 muestra a un usuario configurando la retroiluminación RGB en todo su equipo Razer.
Agrandar / Esta captura de pantalla de la interfaz de Synapse 3 muestra a un usuario configurando la retroiluminación RGB en todo su equipo Razer.

Una de las cosas por las que Razer es bien conocido, aparte de su hardware en sí, es que requiere un inicio de sesión en la nube para casi cualquier cosa relacionada con ese hardware. La empresa ofrece un programa de configuración unificado, Sinapsis, que utiliza una interfaz para controlar todo el equipo Razer de un usuario.

Hasta el año pasado, Synapse no funcionaba, y los usuarios no podían configurar su equipo Razer, por ejemplo, cambiar la resolución del mouse o la retroiluminación del teclado, sin iniciar sesión en una cuenta en la nube. Las versiones actuales de Synapse permiten perfiles almacenados localmente para uso fuera de Internet y lo que la empresa denomina «modo de invitado» para evitar el inicio de sesión en la nube.

A muchos jugadores les molesta la insistencia en una cuenta en la nube para la configuración del hardware que no parece mejorar realmente con su presencia. Su resentimiento es comprensible, porque la funcionalidad de la nube generalizada viene con vulnerabilidades de la nube. Durante el último año, Razer galardonado un solo usuario de HackerOne, s3cr3tsdn, 28 recompensas separadas.

Aplaudimos a Razer por ofrecer y pagar recompensas por errores, por supuesto, pero es difícil olvidar que esas vulnerabilidades no habrían estado allí (y globalmente explotables), si Razer no hubiera vinculado la funcionalidad de su dispositivo tan completamente a la nube en el primer momento. sitio.

¿Por qué importan las fugas como esta?

Es fácil responder con desdén a filtraciones de datos como esta. La información expuesta por el clúster Elastisearch mal configurado de Razer es privada, pero a diferencia de los datos similares expuestos en Ashley Madison incumplimiento Hace cinco años, las compras involucradas probablemente no terminarán con el matrimonio de nadie. Tampoco hay contraseñas en los datos de transacciones filtrados.

Pero las fugas como esta sí importan. Los atacantes pueden usar datos como los que se filtraron aquí para aumentar la efectividad de las estafas de phishing. Armados con detalles precisos de los pedidos recientes de los clientes y las direcciones físicas y de correo electrónico, los atacantes tienen una buena oportunidad de hacerse pasar por empleados de Razer y realizar ingeniería social a esos clientes para que den contraseñas y / o detalles de tarjetas de crédito.

Además del escenario habitual de phishing por correo electrónico, un mensaje que parece una comunicación oficial de Razer, junto con un enlace a una página de inicio de sesión falsa, los atacantes pueden seleccionar la base de datos filtrada para transacciones de alto valor y llamar a esos clientes por teléfono. «Hola, $ your_name, llamo desde Razer. Solicitaste una Razer Blade 15 Base Edition a $ 2,599.99 el $ order_date …» es una forma eficaz de obtener de manera fraudulenta el número de tarjeta de crédito real del cliente en la misma llamada.

Las fugas y las brechas no desaparecen

No recomendamos apostar a que pasará un día entero sin un informe público de una violación de datos.
Agrandar / No recomendamos apostar a que pasará un día entero sin un informe público de una violación de datos.

Según el Identity Theft Resource Center, las filtraciones y filtraciones de datos denunciadas públicamente son abajo treinta y tres por ciento hasta ahora, año tras año. (IDTRC clasifica de forma algo engañosa las fugas como la de Razer como infracciones «causadas por errores humanos o del sistema»). Esto suena como una buena noticia, hasta que te das cuenta de que todavía significa varias infracciones por día. cada día.

Si bien el número de infracciones se redujo este año (lo más probable, según IDTRC, debido a la hipervigilancia de la seguridad por parte de empresas que de repente se enfrentan a necesidades de trabajo remoto a una escala sin precedentes), el número de estafas no lo ha hecho. Los atacantes reutilizan los datos violados o filtrados para obtener credenciales y suplantación de identidad semi-dirigida Relleno ataques durante años después del compromiso real.

Minimizar su perfil de amenaza

Como consumidor, desafortunadamente hay poco que pueda hacer para que las empresas pierdan el control de sus datos una vez que los tengan. En su lugar, debe concentrarse en minimizar la cantidad de datos que tienen las empresas en primer lugar; por ejemplo, ninguna empresa debe tener una contraseña que pueda usarse con su nombre o dirección de correo electrónico para iniciar sesión en una cuenta de otra empresa. También puede considerar seriamente si realmente necesitar para crear nuevas cuentas basadas en la nube que contienen información de identificación personal en primer lugar.

Por último, tenga en cuenta cómo funcionan los ataques de phishing y de ingeniería social y cómo protegerse contra ellos. Evite hacer clic en enlaces en el correo electrónico, particularmente en los enlaces que exigen que inicie sesión. Tenga en cuenta a dónde van esos enlaces: la mayoría de los clientes de correo electrónico, ya sean programas o basados ​​en la Web, le permitirán ver dónde va una URL colocando el cursor sobre ella sin hacer clic. Del mismo modo, vigile la barra de direcciones de su navegador: una página de inicio de sesión en MyFicticioBank, por muy legítima que parezca, es una mala noticia si la URL en la barra de direcciones es DougsDogWashing.biz.

//platform.twitter.com/widgets.js

Deja un comentario

Cart
Your cart is currently empty.