Razer : vulnérabilité exposant les données de 100 000 profils-utilisateurs !

Depuis le 18 Août dernier et selon les investigations sécuritaires de Volodymyr (Bob) Diachenko, une faille exploitant un cluster d'ElasticSearch mal configuré aurait permis, potentiellement, une ex-filtration de données de 100 000 comptes-utilisateurs...

 

 

"M. Volodymyr nous a informés d’une mauvaise configuration de serveur qui pouvait exposer les détails de commandes, les informations clients et les informations d’expédition. Aucune autre donnée sensible, telle que des numéros de carte de crédit ou des mots de passe n’a été exposée . Cette mauvaise configuration de serveur a été corrigée le 9 septembre, avant que la défaillance ne soit rendue publique", indique un communiqué de Razer, relayé au sein du billet sécuritaire du chercheur.

Ont été exposés :

  • Nom, prénom,
  • ID-client,
  • e-Mail,
  • Numéro de téléphone,
  • Numéro de commande,
  • Détails-commande,
  • Facture(s),
  • Adresse de livraison.

Comme cela arrive parfois - trop souvent - les chercheurs ou experts sécuritaires tels que Bob Diachenko ne sont pas de suite entendus : ici, il était question d'un remonté d'information assez lent ou branlant, jusqu'aux "responsables de support non-technique" qui ont géré le soucis sécuritaire pendant "plus de 3 semaines" avant de verrouiller l'ensemble via un service ou une hiérarchie plus qualifiée... A veiller !

 

 

Source : LinkedIn - 10 Septembre 2020 - Razer : aspiration de données de 100 000 comptes-utilisateurs.