Razer: una filtración de datos evitable

En las últimas horas hemos sabido que Razer, el fabricante de hardware especializado en el mundo del gaming, ha sufrido una filtración, por culpa de la cual se han visto expuestos los datos personales de alrededor de 100.000 clientes de la empresa de Singapur. Un problema, visto de manera general, puede tener cualquier empresa, pero que es recomendable analizar un poco, solo un poco más en profundidad, para comprobar qué podemos aprender del mismo, y en qué puntos hablamos de una gestión francamente mejorable.

El problema comienza el 18 de agosto, cuando el experto en ciberseguridad Bob Diachenko detecta que una configuración errónea en uno de sus servidores Elasticsearch, un motor de gestión y análisis de datos muy popular de y uso muy extendido. Y debido a ese fallo en la configuración, y según las estimaciones de Diachenko, quedaban expuestos los datos de alrededor de unos 100.000 clientes de la compañía. Hablamos de una base de datos que contiene nombres completos, correos electrónicos, números de teléfono y direcciones postales.

Al detectar la incidencia, el investigador se puso en contacto con Razer, y es aquí dónde nos encontramos con lo que sí que resulta verdaderamente criticable de su proceder, puesto que pese a que Diachenko intercambió mensajes con varias personas de la compañía, ésta tardó más de tres semanas en resolver el problema de seguridad. Tres semanas durante las cuales los datos de los clientes permanecieron expuestos sin que Razer hiciera nada para evitarlo.

El problema fue finalmente resuelto por Razer el 9 de septiembre, tras varios contactos del investigador con la compañía. En ese momento la compañía emitió un comunicado en el que informaba de la incidencia y se disculpaba con sus clientes. También afirmaba que los datos de pago de los mismos no se habían visto comprometidos y completaba su mensaje con algunas recomendaciones y una dirección de correo electrónico de contacto para los clientes que se pudieran haber visto afectados por la filtración.

Los problemas de seguridad están a la orden del día, y un fallo de configuración, siendo honestos, lo puede cometer cualquiera. Lo que me preocupa de este caso, lo que me parece verdaderamente serio y preocupante, es la alarmante parsimonia con la que Razer ha gestionado este incidente. No es normal (aunque pueda ser común) un tiempo de respuesta de más de tres semanas para un incidente de este tipo. Normas legales como la DPR marcan un tiempo máximo de respuesta y comunicación de 72 horas, y entiendo que es una norma que debería extenderse de manera global.

Y es que, aunque los datos de pago no se hayan visto comprometidos, no podemos decir lo mismo de la privacidad de los clientes, cuyos datos han permanecido expuestos más de tres semanas, pese a que Razer tenía conocimiento de ello. No sé, pero tengo la sensación de que todavía hay muchas compañías que no se toman el problema de las filtraciones de datos tan en serio como deberían, y el caso de BHIM me parece un ejemplo perfecto de ello.

La entrada Razer: una filtración de datos evitable es original de MuySeguridad. Seguridad informática.