Razer filtró accidentalmente la información personal de más de 100.000 jugadores

Razer expuso accidentalmente la información personal de más de 100.000 jugadores durante casi un mes, según un nuevo informe.

El investigador de seguridad Volodymyr Diachenko descubrió que los datos de los clientes del sitio web de Razer se hicieron públicos el 18 de agosto debido a una configuración de elasticsearch insegura en el servidor. La siguiente captura muestra los registros de los pedidos realizados en la tienda digital de la empresa, exponiendo información personal que incluye direcciones de correo electrónico y postal, el tipo de producto solicitado y números de teléfono. No incluye contraseñas o información de tarjetas de crédito.

Después de descubrir la brecha, Diachenko dice que contactó con Razer varias veces y que le tomó tres semanas hasta recibir una respuesta. En un comunicado enviado a Diachenko, el fabricante reconoció la configuración insegura del servidor y que la fuga de datos exponía potencialmente la información personal como nombres completos, números de teléfono y direcciones de envío de los clientes. Razer dice que ninguna otra información sensible ha sido filtrada y que arregló la brecha de seguridad el 9 de septiembre. Han dejado habilitada la dirección de correo DPO@razer.com para consultas sobre la filtración.

Aunque no se hayan expuesto credenciales o información de pago, los datos filtrados pueden ser utilizados en campañas de phishing personalizadas para recabar más información y así vulnerar más allá a los usuarios.

Más información
Arstechnica
https://arstechnica.com/information-technology/2020/09/100000-razer-users-data-leaked-due-to-misconfigured-elasticsearch/
Publicación de Volodymyr «Bob» Diachenko
https://www.linkedin.com/pulse/thousands-razer-customers-order-shipping-details-web-diachenko/
Engadget
https://www.engadget.com/razer-leak-server-misconfiguration-202413040.html