8月份,安全研究人员Volodymyr Diachenko发现了一个配置错误的Elasticsearch集群,该集群归游戏硬件供应商Razer所有,暴露了客户的个人身份信息(Personal Identity Information)。
该群集包含客户订单记录,并包括购买的商品、客户电子邮件、客户(物理)地址、电话号码等信息-基本上,您希望从信用卡交易中看到的所有信息,尽管不是信用卡号码本身。虽然Elasticseach群集不仅向公众公开,而且还被公共搜索引擎索引。
我必须说,在过去的几周里,我真的很喜欢通过电子邮件与@Razer支持团队的不同代表进行对话,但这并没有让我们更接近于保护他们系统中的数据泄露。Pic.twitter.com/Z6YZ5wvejl。
迪亚琴科立即向Razer报告了这个配置错误的集群-其中包含大约10万用户数据,但报告从支持代表到支持代表反复了三周多才得到修复。
Volodymyr先生告诉我们,服务器配置错误可能会泄露订单详细信息、客户和发货信息。没有其他敏感数据,如信用卡号码或密码被完全曝光。
在这一失误公之于众之前,服务器错误配置问题一直没有在9月9日得到修复。
我们谨向您表示感谢,并对此失误表示诚挚的歉意,并已采取一切必要措施解决该问题,并将对我们的IT安全和系统进行彻底审查。“我们将继续致力于确保我们所有客户的数字安全和安全。
除了硬件本身,Razer还有一个广为人知的地方,那就是几乎所有与该硬件相关的东西都需要云登录。该公司提供一个统一的配置程序,Synapse,它使用一个界面来控制用户所有的Razer设备。
直到去年,如果不登录云账户,Synapse将无法运行-用户无法配置他们的Razer设备,例如更改鼠标分辨率或键盘背光。当前版本的Synapse允许本地存储的配置文件供互联网外使用,并允许该公司所称的访客模式绕过云登录。
许多游戏玩家对坚持使用云帐户进行硬件配置感到恼火,而云帐户的存在似乎并没有真正增强硬件配置。他们的愤怒是可以理解的,因为无处不在的云功能伴随着云漏洞。在过去的一年里,Razer授予了一个单独的HackerOne用户,s3cr3tsdn,28个不同的奖金。
当然,我们对Razer提供和支付漏洞赏金表示赞赏,但我们很难忘记,如果Razer一开始就没有将设备功能如此彻底地绑定到云端,这些漏洞就不会出现(并且在全球范围内都可以利用)。
人们很容易对这样的数据泄露不屑一顾。雷泽(Razer)配置错误的Elastisearch集群披露的信息是私人的-但与五年前阿什利·麦迪逊(Ashley Madison)泄密事件中曝光的类似数据不同,涉及的购买可能不会结束任何人的婚姻。泄露的交易数据中也没有密码。
但像这样的泄密确实很重要。攻击者可以而且确实会利用这里泄露的数据来提高网络钓鱼诈骗的有效性。攻击者掌握了客户最近订单的准确信息以及物理地址和电子邮件地址,很有可能冒充Razer员工,并通过社交工程让这些客户交出密码和/或信用卡详细信息。
除了常见的电子邮件钓鱼场景-一条看起来像来自Razer的官方通讯的消息,以及一个指向虚假登录页面的链接-攻击者可能会精挑细选泄露的数据库进行高价值交易,并通过电话给这些客户打电话。您好,$YOUR_NAME,我是从Razer打来的。您在$ORDER_DATE以2,599.99美元的价格订购了一台Razer Blade 15基本版...";是在同一呼叫中欺诈性获取客户实际信用卡号码的有效诱因。
根据身份盗窃资源中心(Identity Theft Resource Center)的数据,到目前为止,公开报告的数据泄露和泄密事件同比下降了33%。(IDTRC有些误导地将Razer这样的泄密事件归类为人为或系统错误造成的泄密。)这听起来是个好消息--直到你意识到这仍然意味着每天都会有几次泄密,而不是每天。
虽然今年的入侵数量有所下降-根据IDTRC的数据,最有可能的是,由于突然面临前所未有规模的远程工作需求的公司对安全保持高度警惕,但诈骗的数量并没有下降。攻击者在实际泄密后多年重复使用被攻破或泄露的数据进行半定向网络钓鱼和凭据填充攻击。
作为消费者,不幸的是,一旦公司失去了对您的数据的控制,您就无能为力了。相反,您应该专注于将公司拥有的数据量降至最低-例如,任何一家公司都不应拥有可与您的姓名或电子邮件地址一起登录到另一家公司的帐户的密码。您可能还会强烈考虑是否真的需要首先创建包含个人身份信息的新的基于云的帐户。
最后,要了解网络钓鱼和社会工程攻击的工作原理以及如何防范它们。避免单击电子邮件中的链接,特别是要求您登录的链接。注意这些链接的去向-大多数电子邮件客户端,无论是程序还是基于Web的客户端,都会让你通过将鼠标悬停在URL上而不需要点击就能看到它的去向。同样,密切关注浏览器中的地址栏-MyFictiousBank的登录页,无论多么合法-如果地址栏中的URL是DougsDogWashington ing.biz,则是个坏消息。