Razer a oublié de protéger les informations personnelles de plus de 100 000 clients sur le Net,

Un cluster Elasticsearch mal configuré est à l'origine de cette exposition

Razer a oublié de protéger les informations personnelles de plus de 100 000 clients sur le Net,
un cluster Elasticsearch mal configuré est à l’origine de cette exposition

Bien que les pirates informatiques s'efforcent jour et nuit de trouver une faille informatique ou d'obtenir des informations sur leur cible, Razer, une société américaine spécialisée dans les périphériques de jeu, a accidentellement dévoilé les données personnelles de près de 100 000 de ses clients librement accessibles sur Internet.

En effet, tout a commencé en août dernier, lorsque le chercheur en sécurité Volodymyr Diachenko a constaté qu'un cluster Elasticsearch mal configuré, appartenant à Razer, exposait les informations personnelles identifiables des clients.


Les informations concernées par cette faille de sécurité incluent notamment le nom complet du client, son adresse électronique, son numéro de téléphone, son identifiant interne, le numéro de commande, les détails de la commande, la livraison ainsi que l'adresse de facturation. Il s'agit donc de toutes les informations relatives à une transaction par carte de crédit. Toutefois, il convient de noter que le numéro de la carte de crédit en question n'est pas du tout révélé, de même pour le mot de passe. En revanche, le cluster Elasticsearch a non seulement été exposé au public, mais il a également été indexé par les moteurs de recherche publics.

Peu de temps après avoir découvert ce cluster Elasticsearch, Volodymyr Diachenko a informé Razer de la divulgation des données de ses clients. Cependant, il a fallu près d'un mois pour que le problème soit résolu.

« J'ai immédiatement averti l'entreprise via leur canal de support de l'exposition, mais mon message n'a jamais atteint les bonnes personnes au sein de l'entreprise et a été traité par des responsables du support non technique pendant plus de 3 semaines jusqu'à ce que l'instance soit sécurisée de l'accès public », a-t-il expliqué.

Razer a par la suite adressé une déclaration à Volodymyr Diachenko indiquant que les données divulguées ne contenaient pas des informations sensibles telles que des mots de passe ou des numéros de cartes de crédit.

« M. Volodymyr nous a informés d'une mauvaise configuration du serveur qui pourrait exposer les détails de la commande, les informations sur le client et l'expédition. Aucune autre donnée sensible telle que les numéros de carte de crédit ou les mots de passe n'a été exposée », a écrit Razer à travers un communiqué.

« La mauvaise configuration du serveur a été corrigée le 9 septembre, avant que la défaillance ne soit rendue publique. Nous tenons à vous remercier, à vous présenter nos sincères excuses pour cette défaillance et à vous informer que nous avons pris toutes les mesures nécessaires pour résoudre le problème et que nous avons procédé à un examen approfondi de notre sécurité et de nos systèmes informatiques. Nous restons déterminés à assurer la sécurité numérique de tous nos clients », a poursuivi l'entreprise.

Une fuite comme celle-ci résulte sur la mauvaise configuration d'un serveur Elasticsearch. Il permet d'analyser et d'organiser de grandes bases de données avec une grande efficacité. Le seul inconvénient est que sa sécurité est difficile à mettre en place, bien que les développeurs s'efforcent de le rendre plus accessible.

Lorsqu'une mauvaise configuration d'Elasticsearch a lieu, la base de données en question devient accessible à tous par le biais d'un navigateur web, même sans mot de passe, dans la mesure où l'on dispose de son adresse IP. Il est donc possible de la télécharger, la modifier ou la supprimer tant qu’elle ne sera pas protégée. Elle finit, après une certaine période d'exposition, par être indexée par des moteurs de recherche tels que Shodan.

Il faut noter que de tels problèmes de sécurité se produisent souvent. Voilà pourquoi certains chercheurs se sont spécialisés dans le suivi de ces problèmes, à l'instar de Volodymyr Diachenko. Mais le coupable de cette faille reste toujours le même, il s'agit du port 9200 du serveur.

Que risquent les clients par rapport à cette faille ?

Des fuites comme celle-ci représentent un énorme danger pour les cibles. En effet, les attaquants ont la possibilité d'utiliser des données telles que celles qui sont divulguées pour améliorer l'efficacité des escroqueries par hameçonnage. Une fois que les attaquants ont accès aux détails spécifiques des commandes récentes des clients et aux adresses physiques et e-mail, ils ont de bonnes chances de se faire passer pour des employés de Razer. Puis, ils inciteront les clients à donner leurs mots de passe et/ou les détails de leurs cartes de crédit. Il est également possible que les arnaqueurs envoient des courriels ou des messages malveillants qui encouragent les victimes à cliquer sur des liens vers de fausses pages de connexion ou à télécharger des logiciels malveillants sur leurs appareils.

En conséquence, les clients de Razer risquent de se faire prendre au piège de la fraude et des attaques de phishing ciblées par des criminels qui ont pu avoir accès aux données en question.

« Notre objectif est de contribuer à la protection des données sur Internet en identifiant les fuites de données et en suivant des politiques de divulgation responsables. Notre mission est de rendre le cybermonde plus sûr en éduquant les entreprises et les communautés du monde entier. Nos connaissances approfondies en matière de cybersécurité se prêtent bien à la recherche et à l'analyse des fuites de données. Notre diligence raisonnable exige que nous fassions tout notre possible pour identifier les responsables et les avertir le plus rapidement possible », a conclu le chercheur en sécurité Volodymyr Diachenko.

Au final, il est important de savoir comment fonctionnent les attaques de phishing ainsi que les attaques d'ingénierie sociale afin de savoir comment s'en prémunir.

Pour beaucoup, la question est maintenant de savoir comment Razer doit gérer une fuite massive de données personnelles comme celle-ci, alors que la société a récemment annoncé son intention de lancer ses propres services bancaires à travers l'Europe et les États-Unis.

Source : Communiqué

Et vous ?

Qu'en pensez-vous ?

Voir aussi :

Une base de données renfermant des millions de SMS privés a été exposée en ligne sans aucun chiffrement, découverte faite par des chercheurs en sécurité de la société vpnMentor
« Une erreur a été commise dans le paramétrage de la sécurisation des accès du serveur », explique le Figaro à propos d'une fuite de 8 To de données, dont celles d'abonnés et de journalistes
La nouvelle attaque "Meow" a maintenant effacé près de 4 000 bases de données, ciblant les instances ElasticSearch, MongoDB et d'autres systèmes non sécurisés
Un pirate a supprimé les données et défacé plus de 10 000 serveurs Elasticsearch exposés sur la toile sans MdP, selon Vinny Troia, ces attaques auraient été commises par le groupe The Dark Overlord
Sept VPN gratuits ont exposé les données personnelles de 20 millions d'utilisateurs, via un serveur Elasticsearch non sécurisé