Información privada revelada: Razer revela más de 100,000 información personal de jugadores


  Este registro de muestra editado de los datos filtrados de Elasticsearch muestra la compra de una computadora portátil para juegos de $ 2600 el 24 de junio.
Ampliar / Este registro de muestra editado de los datos filtrados de Elasticsearch muestra la compra de un a el 24 de junio por $ 2600 para portátiles para juegos.

En agosto, el investigador de seguridad Volodymyr Diachenko descubrió un clúster de Elasticsearch mal configurado propiedad del proveedor de hardware para juegos Razer que revela la PII (Información de identificación personal) de los clientes.

El grupo contenía registros de pedidos de clientes e información como artículos comprados, correo electrónico del cliente, dirección (física) del cliente, número de teléfono, etc., básicamente todo lo que esperaría de una transacción con tarjeta de crédito, pero no los números de la tarjeta de crédito en sí. Además de estar abierto al público, los motores de búsqueda públicos también indexaron el clúster de Elasticseach.

Diachenko informó inmediatamente a Razer Der sobre el clúster mal configurado, que contenía aproximadamente 100.000 datos de usuario Sin embargo, el informe se envió de los agentes de soporte a los agentes de soporte durante más de tres semanas antes de ser resuelto.

Razer hizo la siguiente declaración pública con respecto a la filtración:

El Sr. Volodymyr nos alertó sobre una posible configuración incorrecta del servidor detectada: detalles del pedido, información del cliente y de envío. No se reveló ninguna otra información confidencial, como números de tarjetas de crédito o contraseñas.

La configuración incorrecta del servidor se corrigió el 9 de septiembre, antes de que se publicara el error.

Nos gustaría agradecerle y disculparnos sinceramente por el error y hemos tomado todas las medidas necesarias para corregir el problema y realizar una revisión exhaustiva de nuestros sistemas y seguridad de TI. Seguimos esforzándonos por garantizar la seguridad digital de todos nuestros clientes.

Razer y la nube

  Esta captura de pantalla de la interfaz de usuario de Synapse 3 muestra a un usuario configurando la retroiluminación RGB para todos los dispositivos Razer. "Src =" https: //cdn.arstechnica.net/wp-content/uploads/2020/09/razer-interface-640x346.png "width =" 640 "height =" 346 "srcset =" https: // cdn .arstechnica.net / wp-content / uploads / 2020/09 / razer-interface.png 2x
Enlarge / Esta captura de pantalla de la interfaz de usuario de Synapse 3 muestra un usuario que tiene retroiluminación RGB para todos Dispositivos Razer configurados.

Una de las cosas por las que se conoce a Razer, además de su hardware en sí, es la inscripción en la nube para casi todo lo relacionado con ese hardware. La compañía ofrece un programa de configuración unificado, Synapse, que usa una interfaz para controlar todos los dispositivos Razer de un usuario.

Hasta el año pasado, Synapse no funcionaba y los usuarios no podían configurar sus dispositivos Razer, p. Ej. Por ejemplo, cambie la resolución del mouse o la luz de fondo del teclado, sin iniciar sesión en una cuenta en la nube. Las versiones actuales de Synapse permiten perfiles almacenados localmente para su uso fuera de Internet y lo que la empresa llama "modo invitado" para evitar el inicio de sesión en la nube.

Muchos jugadores están molestos porque tienen una cuenta en la nube para una configuración de hardware que no la tiene. Realmente parece estar amplificado por su presencia. Su pico es comprensible ya que la funcionalidad de la nube ubicua está vinculada a las vulnerabilidades de la nube. El año pasado, Razer otorgó a un solo usuario de HackerOne, s3cr3tsdn, 28 recompensas distintas.

Por supuesto, aplaudimos a Razer por ofrecer y pagar primas por errores, pero es difícil olvidar que estas vulnerabilidades no habrían existido (y podrían explotarse a nivel mundial) si Razer no hubiera vinculado de manera tan completa la funcionalidad de su dispositivo a la nube. tendría.

Por qué ocurren tales fugas

Es fácil reaccionar negativamente a tales fugas de datos. La información publicada por el clúster Elastisearch mal configurado de Razer es privada, pero a diferencia de datos similares publicados hace cinco años cuando Ashley Madison resultó lesionada, es poco probable que las compras relacionadas terminen con el matrimonio de alguien. Tampoco hay contraseñas en los datos de transacciones filtrados.

Pero tales fugas son importantes. Los atacantes pueden utilizar y utilizarán la información filtrada aquí para aumentar la eficacia de las estafas de phishing. Con detalles precisos de los pedidos recientes de los clientes, direcciones físicas y de correo electrónico, los atacantes tienen muchas posibilidades de hacerse pasar por empleados de Razer y engañar a esos clientes para que revelen contraseñas y / o información de tarjetas de crédito.

Además del escenario habitual de phishing por correo electrónico, un mensaje que parece una comunicación oficial de Razer, junto con un enlace a una página de inicio de sesión falsa, los atacantes podrían seleccionar la base de datos filtrada para transacciones de alto valor y llamar a estos clientes por teléfono. "Hola, $ your_name, llamo desde Razer. Solicitaste una Razer Blade 15 Base Edition por $ 2,599.99 el $ order_date …" es un indicador efectivo de que el número real de la tarjeta de crédito del cliente se obtuvo de manera fraudulenta en la misma llamada. se convierte.

Las filtraciones y las violaciones no desaparecen.

  No recomendamos apostar en un día entero sin informar públicamente de una infracción pública. "Src =" https://cdn.arstechnica.net/wp- Inhalt / Uploads / 2020/09 / Datenverlätze-30-Tage-640x426.png "width =" 640 "height =" 426 "srcset =" https: / /cdn.arstechnica.net/wp-content/uploads/2020 /09/data-breaches-30-days.png 2x
Ampliar / No desaconsejamos pasar un día entero sin informes públicos de una violación de datos.

Según el Im Identity Theft Resource Center, las filtraciones y filtraciones de datos denunciadas públicamente han disminuido un 33 por ciento interanual. (IDTRC clasifica las fugas como las de Razer de forma algo engañosa como infracciones "humanas o sistémicas"). Esto suena como una buena noticia, hasta que descubra que todavía significa varias infracciones por día, cada Día.

Si bien el número de violaciones ha disminuido este año, probablemente debido a la supervisión de la seguridad por parte de empresas que de repente enfrentan niveles sin precedentes de demandas de trabajo remoto, según IDTRC, no lo ha hecho. Durante años después del compromiso real, los atacantes utilizan datos comprometidos o filtrados para ataques de phishing y credenciales semi-dirigidos.

Minimizar su perfil de amenaza

Como consumidor, desafortunadamente, hay poco que pueda hacer para evitar que las empresas pierdan el control de sus datos una vez que los tengan. En cambio, debe concentrarse en minimizar su número de empresas de datos. Por ejemplo, ninguna empresa debe tener una contraseña que pueda utilizarse con su nombre o dirección de correo electrónico para iniciar sesión en la cuenta de otra empresa. También puede pensar detenidamente si realmente necesita para crear nuevas cuentas basadas en la nube con información de identificación personal.

Por último, debe tener claro cómo funcionan los ataques de phishing e ingeniería social y cómo protegerse contra ellos. Evite hacer clic en los enlaces de los correos electrónicos, especialmente los enlaces que requieren que se suscriba. Preste atención a dónde van estos enlaces. Para la mayoría de los clientes de correo electrónico, ya sean programados o basados ​​en la web, puede ver dónde va una URL colocando el cursor sobre ella sin hacer clic en ella. Además, esté atento a la barra de direcciones de su navegador: una página de inicio de sesión en MyFicticiousBank, incluso si parece legítima, es una mala noticia si la URL en la barra de direcciones es DougsDogWashing.biz.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *