Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Wyciek 100 000+ rekordów danych osobowych z Razer – jednej z popularnych firm produkujących sprzęt gamingowy

14 września 2020, 20:12 | W biegu | 0 komentarzy

Po raz kolejny winowajcą jest niezabezpieczony Elasticsearch (o innych przypadkach dużych problemów wynikających właśnie z nieumiejętnej konfiguracji Elasticsearcha pisaliśmy tutaj, tutaj, tutaj, tutaj czy tutaj). Tego typu tematykę omawiamy również na naszym szkoleniu z rekonesansu infrastruktury IT.

Badacz namierzył niezabezpieczoną bazę w sierpniu, a jej zdjęcie przez producenta trwało… nie uwierzycie – 3 tygodnie. W bazie znajdowało się około 100 000 rekordów z danymi osobowymi takimi jak:

  • imię/nazwisko
  • email
  • numer telefonu
  • szczegóły zamówienia
  • adresy wysyłki
  • itd. (warto zaznaczyć że nie było tutaj danych płatniczych czy hashy haseł)

Jak możecie przypuszczać – dotknięci byli użytkownicy sklepu on-line Razer-a, co potwierdza sam badacz w komentarzu do cytowanego newsa:

Direct orders from Razer store

Razer – wyciek

Przy okazji warto wspomnieć o programie bug bounty Razer-a. Całkiem niedawno pozgłaszano tam sporo krytycznych podatności SQL injections, jest też jeszcze względnie świeży RCE (Remote Code Execution). Co wynika z faktu ociągania się w ściągnięciu tytułowej bazy z Internetu oraz mnogości znajdowanych bugów? Może to, że branża gamingowa ma duży potencjał na dorobienie sobie w ramach bug bounty ;-)

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

Odpowiedz