Wyciek 100 000+ rekordów danych osobowych z Razer – jednej z popularnych firm produkujących sprzęt gamingowy

Po raz kolejny winowajcą jest niezabezpieczony Elasticsearch (o innych przypadkach dużych problemów wynikających właśnie z nieumiejętnej konfiguracji Elasticsearcha pisaliśmy tutaj, tutaj, tutaj, tutaj czy tutaj). Tego typu tematykę omawiamy również na naszym szkoleniu z rekonesansu infrastruktury IT.

Badacz namierzył niezabezpieczoną bazę w sierpniu, a jej zdjęcie przez producenta trwało… nie uwierzycie – 3 tygodnie. W bazie znajdowało się około 100 000 rekordów z danymi osobowymi takimi jak:

• imię/nazwisko
• email
• numer telefonu
• szczegóły zamówienia
• adresy wysyłki
• itd. (warto zaznaczyć że nie było tutaj danych płatniczych czy hashy haseł)

Jak możecie przypuszczać – dotknięci byli użytkownicy sklepu on-line Razer-a, co potwierdza sam badacz w komentarzu do cytowanego newsa:

Razer – wyciek

Przy okazji warto wspomnieć o programie bug bounty Razer-a. Całkiem niedawno pozgłaszano tam sporo krytycznych podatności SQL injections, jest też jeszcze względnie świeży RCE (Remote Code Execution). Co wynika z faktu ociągania się w ściągnięciu tytułowej bazy z Internetu oraz mnogości znajdowanych bugów? Może to, że branża gamingowa ma duży potencjał na dorobienie sobie w ramach bug bounty ;-)

–ms