Razer laisse fuiter plus de 100 000 adresses email et numéros de téléphone appartenant à ses clients

Pierre Crochart
Spécialiste smartphone & gaming
14 septembre 2020 à 11h39
3

Mise à jour du 15/09 à 8h40 : Dans un communiqué officiel que Razer nous a fait suivre, la marque confirme que la faille a bel et bien été corrigée le 9 septembre, "avant qu'elle n'ait été rendue publique". Razer renouvelle également ses excuses quant au délai de traitement de cette brèche, induit par un "examen minutieux de la sécurité informatique et des systèmes".

Non content de commercialiser des chewing-gums pour gamers, Razer pédale également dans la semoule. Alertée par le chercheur en cybersécurité Bob Diachenko d’une faille sur ses serveurs le 18 août dernier, l’entreprise aura mis plus de deux semaines à colmater la brèche — occasionnant par la même la fuite de plus de 100 000 entrées relatives à des données clients.

Si vous avez déjà passé commande sur le site officiel Razer, peut-être êtes-vous concerné par la fuite qui a laissé un accès libre aux adresses email, noms, prénoms, numéros de téléphone, numéros de commande et adresse de facturation de près de 100 000 clients.

Aucune donnée sensible exposée

Outre ces données, Razer explique dans un communiqué remerciant Bob Diachenko qu’« aucune autre donnée sensible comme les numéros de carte de crédit ou les mots de passe n’ont été exposés » par cette brèche.

Mais quant à savoir combien de personnes ont eu accès aux données laissées en libre accès par Razer, impossible d’en être certain. Comme le rapportent nos confrères de Numerama, une récente étude estime qu’une base de données laissée sans protection sur Internet est téléchargée au moins une fois en neuf heures. 11 jours plus tard, au moins 150 personnes se la seront échangée.

En prenant en compte le temps de latence particulièrement long de Razer pour réparer son erreur, et en gardant en tête que la faille était sans doute préexistante à sa découverte par Bob Diachenko, il est possible qu’un grand nombre de personnes soit désormais en possession des données de Razer.

Une erreur de configuration à l’origine de la faille

L’erreur commise par Razer est commune. Il s'agit d'une anomalie de configuration au niveau du serveur ElasticSearch, un outil très largement utilisé dans le monde afin d’indexer d’importantes bases de données. Problème : la moindre négligence dans l’utilisation d’ElasticSearch peut laisser n’importe qui accéder aux précieuses données qu’il agrège.

À cela s’ajoute un deuxième inconvénient. Si la faille n’est pas rapidement identifiée, et promptement corrigée, la base de données peut se retrouver indexée sur des moteurs de recherche comme Shodan et donc compromettre d’autant plus les précieuses informations qu’elle recèle.

Récemment, ce sont des fournisseurs de VPN, un site de webcams pour adultes et même Facebook qui en ont fait les frais.

Via : Numerama

Modifié le 15/09/2020 à 08h41
3
4
Partager l'article :
Voir tous les messages sur le forum

Les actualités récentes les plus commentées

Automobile : le gouvernement envisagerait un malus lié au poids des véhicules
Le Royaume-Uni devrait interdire les ventes de voitures thermiques en 2030
Après Bethesda, Microsoft tease, déjà, un autre rachat à venir ?
Airbus dévoile ses trois concepts d'avion à hydrogène, opérationnel d'ici 2035
Voiture électrique : allez-vous sauter le pas et à quel prix ?
Microsoft rachète Bethesda Softworks et l'ensemble de ses studios
Xbox Series X | S : le module d'extension d'1 To NVMe coûtera 269,99€ en France
L'adoption de Firefox en chute de 85%
Batteries de voitures : et si on allait plutôt chercher les matériaux au fond des océans ?
Battery Day : des batteries révolutionnaires et une Tesla à 25 000 dollars sous trois ans
scroll top