C’est le chercheur en cybersécurité Bob Diachenko qui a découvert le pot aux roses. Encore une fois, il s’agissait d’un serveur Elasticsearch mal configuré et ouvert aux quatre vents (et même indexé dans des moteurs de recherche), comme le rapporte Ars Technica.
On y trouvait les nom, adresses physique et email, numéro de téléphone et liste de produits achetés, mais pas de coordonnées bancaires. Le risque étant toujours le même pour les clients : des attaques par phishing.
Dans un communiqué, Razer confirme avoir été informé de la situation de manière responsable par le chercheur et ajoute que « la mauvaise configuration du serveur a été corrigée le 9 septembre, avant que la brèche ne soit rendue publique ». Un délai tout de même long puisque la faille a été signalée le 20 août.
Le fabricant en profite pour présenter ses excuses et affirme avoir pris les mesures nécessaires pour éviter que cela ne se reproduise.
Commentaires (2)
#1
Razer a-t-il prévenu les clients impactés ? Sait-on si la liste a été communiqué à have i been pwned ?
#2
Sachant qu’ils poussent à créer un compte pour sauvegarder des configs qui pourraient l’être localement (PC ou composants), c’est assez intéressant.