🔴 Soldes d'été : jusqu'à - 50% sur le high-tech 🔴 Soldes d'été : jusqu'à - 50% sur le high-tech

Razer laisse fuiter plus de 100 000 adresses email et numéros de téléphone appartenant à ses clients

Pierre Crochart
Spécialiste smartphone & gaming
04 janvier 2021 à 17h34
3
Razer logo

Mise à jour du 15/09 à 8h40 : Dans un communiqué officiel que Razer nous a fait suivre, la marque confirme que la faille a bel et bien été corrigée le 9 septembre, "avant qu'elle n'ait été rendue publique". Razer renouvelle également ses excuses quant au délai de traitement de cette brèche, induit par un "examen minutieux de la sécurité informatique et des systèmes".

Non content de commercialiser des chewing-gums pour gamers , Razer pédale également dans la semoule. Alertée par le chercheur en cybersécurité Bob Diachenko d’une faille sur ses serveurs le 18 août dernier, l’entreprise aura mis plus de deux semaines à colmater la brèche — occasionnant par la même la fuite de plus de 100 000 entrées relatives à des données clients.

Si vous avez déjà passé commande sur le site officiel Razer, peut-être êtes-vous concerné par la fuite qui a laissé un accès libre aux adresses email, noms, prénoms, numéros de téléphone, numéros de commande et adresse de facturation de près de 100 000 clients.

Aucune donnée sensible exposée

Outre ces données, Razer explique dans un communiqué remerciant Bob Diachenko qu’« aucune autre donnée sensible comme les numéros de carte de crédit ou les mots de passe n’ont été exposés » par cette brèche.

Mais quant à savoir combien de personnes ont eu accès aux données laissées en libre accès par Razer, impossible d’en être certain. Une récente étude estime qu’une base de données laissée sans protection sur Internet est téléchargée au moins une fois en neuf heures. 11 jours plus tard, au moins 150 personnes se la seront échangée.

En prenant en compte le temps de latence particulièrement long de Razer pour réparer son erreur, et en gardant en tête que la faille était sans doute préexistante à sa découverte par Bob Diachenko, il est possible qu’un grand nombre de personnes soit désormais en possession des données de Razer.

Une erreur de configuration à l’origine de la faille

L’erreur commise par Razer est commune. Il s'agit d'une anomalie de configuration au niveau du serveur ElasticSearch, un outil très largement utilisé dans le monde afin d’indexer d’importantes bases de données. Problème : la moindre négligence dans l’utilisation d’ElasticSearch peut laisser n’importe qui accéder aux précieuses données qu’il agrège.

À cela s’ajoute un deuxième inconvénient. Si la faille n’est pas rapidement identifiée, et promptement corrigée, la base de données peut se retrouver indexée sur des moteurs de recherche comme Shodan et donc compromettre d’autant plus les précieuses informations qu’elle recèle.

Récemment, ce sont des fournisseurs de VPN , un site de webcams pour adultes  et même Facebook  qui en ont fait les frais.

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
3
4
SPH
Il faudrait une charte de sécurité minimum a imposer aux sociétés.<br /> Si la charte n’est pas respectée, il y aura sanction financière…
toast
Ça s’appelle la RGPD
max_971
Ne serait-il pas possible de crypter les données dans la base de données et ne donner la clé de décryptage aux autres serveurs légitimes avec tout un processus d’authentification ?<br /> Même si la base de données serait exposé, il faudrait alors décrypter les éléments dans la base de données.<br /> On pourrait même ajouter de fausses données pour tromper celui qui arriverait à voler puis décrypter tout ça.
Voir tous les messages sur le forum
Haut de page