Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Wyciek 100 000+ rekordów danych osobowych z Razer – jednej z popularnych firm produkujących sprzęt gamingowy
Po raz kolejny winowajcą jest niezabezpieczony Elasticsearch (o innych przypadkach dużych problemów wynikających właśnie z nieumiejętnej konfiguracji Elasticsearcha pisaliśmy tutaj, tutaj, tutaj, tutaj czy tutaj). Tego typu tematykę omawiamy również na naszym szkoleniu z rekonesansu infrastruktury IT.
Badacz namierzył niezabezpieczoną bazę w sierpniu, a jej zdjęcie przez producenta trwało… nie uwierzycie – 3 tygodnie. W bazie znajdowało się około 100 000 rekordów z danymi osobowymi takimi jak:
- imię/nazwisko
- numer telefonu
- szczegóły zamówienia
- adresy wysyłki
- itd. (warto zaznaczyć że nie było tutaj danych płatniczych czy hashy haseł)
Jak możecie przypuszczać – dotknięci byli użytkownicy sklepu on-line Razer-a, co potwierdza sam badacz w komentarzu do cytowanego newsa:
Przy okazji warto wspomnieć o programie bug bounty Razer-a. Całkiem niedawno pozgłaszano tam sporo krytycznych podatności SQL injections, jest też jeszcze względnie świeży RCE (Remote Code Execution). Co wynika z faktu ociągania się w ściągnięciu tytułowej bazy z Internetu oraz mnogości znajdowanych bugów? Może to, że branża gamingowa ma duży potencjał na dorobienie sobie w ramach bug bounty ;-)
–ms