A Razer confirmou um incidente de segurança que expôs dados pessoais de mais de 100 mil clientes. As informações estavam publicamente acessíveis graças a uma falha de configuração na plataforma Elasticsearch, o que fez com que o conteúdo também fosse indexado em plataformas de buscas como o Google.
Os dados em questão incluíam basicamente todas as informações necessárias para se realizar uma compra, com exceção de informações de cartão de crédito. Isso significa que dados como nome completo, endereço de email, endereço de entrega, número de telefone e informações sobre o que cada cliente comprou.
A descoberta foi feita em agosto pelo pesquisador de segurança Volodymyr Diachenko, que informou a vulnerabilidade à Razer, que agradeceu pelo alerta. A falha foi corrigida em 9 de setembro, mas foi revelada só agora, para evitar que o cibercrime pudesse se aproveitar.
“Nós fomos alertados pelo Sr. Volodymyr sobre uma falha de configuração em um servidor que potencialmente expôs detalhes de pedidos, clientes e informações de entrega. Nenhuma outra informação sensível, como números de cartão de créditou ou senhas, foi exposta. A falha de configuração foi resolvida em 9 de setembro, antes do lapso se tornar público. Gostaríamos de agradecer e pedir desculpas sinceras pelo lapso. Tomamos todos os passos necessários para corrigir o problema e conduzir uma análise detalhada da nossa segurança em TI e sistemas. Seguimos comprometidos em garantir a segurança digital e segurança de todos os nossos clientes”, diz o comunicado da Razer.
Ainda que vulnerabilidades como a detectada por Diachenko não vão trazer prejuízos diretos aos clientes da Razer, já que não há senhas ou cartões de crédito no banco de dados expostos, vazamentos do tipo podem ter, sim, implicações graves indiretas. A exposição de dados pessoais pode fazer com que o cibercrime possa direcionar seus ataques para uma pessoa específica, especialmente conhecendo seus hábitos de consumo.
Por exemplo: João Silva é um consumidor ávido de produtos da Razer. Sabendo disso, o cibercrime sabe que João é uma pessoa que provavelmente tem um bom poder aquisitivo. Tendo em mãos seu endereço de e-mail, que também vazou, os criminosos podem enviar para ele e-mails se passando pela Razer prometendo falsas promoções em produtos da companhia, na esperança de que ele tente gastar dinheiro em itens inexistentes. Obviamente, os valores iriam diretamente para o bolso dos criminosos.
O vazamento desse tipo de informação também permite alimentar ainda mais os bancos de dados para distribuição de spam pela internet, que muitas vezes também resultam em golpes contra usuários com menos experiência na internet.