Hupsista! Razer jätti yli 100 000 asiakkaan yhteystiedot suojaamatta

Lisälaitteiden valmistajana tunnetulle Razerille oli päässyt käymään hyvin amatöörimäinen tietoturvavahinko ja firma oli jättänyt suojaamatta jopa yli 100 000 asiakkaan yhteystiedot. Asiakastiedot eivät onneksi sisältäneet luottokorttitietoja mutta joukossa olivat nimi- ja osoitetietojen lisäksi myös asiakkaiden sähköpostiosoitteet sekä puhelinnumerot.

Asian toi julkisuuteen tietoturvatutkija Volodymyr Diachenko, joka huomasin Razerin asiakastietojen hallintaan oletettavasti käyttämän Elasticsearch-hakumoottorin sallivan julkisen lukuoikeuden ja tätä kautta päästävän kenet tahansa käsiksi asiakastietokantaan. Diachenko löysi tietoturva-aukon jo elokuun 18. päivä mutta tutkijalla kesti lähes kolme viikkoa saada tieto Razerillä oikeille tahoille, vaikka hän otti välittömästi yhteyttä laitevalmistajan asiakastukeen. Lopulta serverin konfigurointi korjattiin syyskuun 9. päivä, jonka jälkeen vastuullisena tietoturvaihmisenä Diachenko toi asian vasta julkisuuteen.

Vaikka tietojen joukossa ei ollut luottokorttitietoja tai salasanoja, niin asiakastietojen altistuminen julkisuuteen voi silti antaa mahdollisuuden esimerkiksi identiteettivarkauteen tai mahdollistaa tietojenkalastelun muilta tahoilta niiden avulla. Kaikki käyttäjät eivät tietenkään myöskään haluaa yhteistietojensa olevan julkisesti saatavilla useita eri syistä, joten kyseessä on ollut todella ala-arvoinen suoritus tietoturvan kannalta.

Toivottavasti jatkossa Razer ja muutkin asiakastietoja keräävät tahot muistavat pitää huolta myös yksinkertaisemmista tietoturva-aspekteista.

Lähde: The Verge