Falha de configuração em servidor da Razer expõe dados de 100 mil clientes

Empresa foi alertada por especialista e corrigiu o problema antes que ele se tornasse de conhecimento público
Renato Santino14/09/2020 18h05, atualizada em 14/09/2020 18h09

20200914032123-1920x1080

Compartilhe esta matéria

Ícone Whatsapp Ícone Whatsapp Ícone X (Tweeter) Ícone Facebook Ícone Linkedin Ícone Telegram Ícone Email

A Razer confirmou um incidente de segurança que expôs dados pessoais de mais de 100 mil clientes. As informações estavam publicamente acessíveis graças a uma falha de configuração na plataforma Elasticsearch, o que fez com que o conteúdo também fosse indexado em plataformas de buscas como o Google.

Os dados em questão incluíam basicamente todas as informações necessárias para se realizar uma compra, com exceção de informações de cartão de crédito. Isso significa que dados como nome completo, endereço de email, endereço de entrega, número de telefone e informações sobre o que cada cliente comprou.

Reprodução

A descoberta foi feita em agosto pelo pesquisador de segurança Volodymyr Diachenko, que informou a vulnerabilidade à Razer, que agradeceu pelo alerta. A falha foi corrigida em 9 de setembro, mas foi revelada só agora, para evitar que o cibercrime pudesse se aproveitar.

“Nós fomos alertados pelo Sr. Volodymyr sobre uma falha de configuração em um servidor que potencialmente expôs detalhes de pedidos, clientes e informações de entrega. Nenhuma outra informação sensível, como números de cartão de créditou ou senhas, foi exposta. A falha de configuração foi resolvida em 9 de setembro, antes do lapso se tornar público. Gostaríamos de agradecer e pedir desculpas sinceras pelo lapso. Tomamos todos os passos necessários para corrigir o problema e conduzir uma análise detalhada da nossa segurança em TI e sistemas. Seguimos comprometidos em garantir a segurança digital e segurança de todos os nossos clientes”, diz o comunicado da Razer.

Ainda que vulnerabilidades como a detectada por Diachenko não vão trazer prejuízos diretos aos clientes da Razer, já que não há senhas ou cartões de crédito no banco de dados expostos, vazamentos do tipo podem ter, sim, implicações graves indiretas. A exposição de dados pessoais pode fazer com que o cibercrime possa direcionar seus ataques para uma pessoa específica, especialmente conhecendo seus hábitos de consumo.

Por exemplo: João Silva é um consumidor ávido de produtos da Razer. Sabendo disso, o cibercrime sabe que João é uma pessoa que provavelmente tem um bom poder aquisitivo. Tendo em mãos seu endereço de e-mail, que também vazou, os criminosos podem enviar para ele e-mails se passando pela Razer prometendo falsas promoções em produtos da companhia, na esperança de que ele tente gastar dinheiro em itens inexistentes. Obviamente, os valores iriam diretamente para o bolso dos criminosos.

O vazamento desse tipo de informação também permite alimentar ainda mais os bancos de dados para distribuição de spam pela internet, que muitas vezes também resultam em golpes contra usuários com menos experiência na internet.

Renato Santino é editor(a) no Olhar Digital