早在8月,一位稱為Volodymyr Diachenko的安全研究人員首先發現了某種錯誤配置的Elasticsearch群集,該集群由流行的遊戲硬件供應商(稱為Razer)擁有。洩漏顯然顯示了客戶的PII或個人可識別信息。
損害的信息
該集群實際上包含其他客戶訂單的不同記錄,還包含一些信息,例如購買的商品,客戶的電子郵件以及物理地址,他們的電話號碼等。
基本上,洩漏的信息幾乎是您期望從某人自己的信用卡交易中看到的信息,儘管沒有自己贈送確切的信用卡號。整個Elasticsearch集群不僅接觸到公眾,而且還被某些公共搜索引擎所索引!
該報告被彈跳
Diachenko以前已經報導了整個錯誤配置的群集,這令人驚訝地包含100,000多種用戶的數據,立即到Razer!儘管有意圖告知,但隨後將該報告從一個支持代表到另一個支持代表的彈跳大約三週,然後才能真正解決!
Razer發布了有關洩漏的公開聲明,稱他們的某些Volodymyr先生在服務器錯誤配置方面已經意識到,實際上可以揭示不同的訂單詳細信息,客戶以及運輸信息。
他們向公眾保證,沒有像信用卡號甚至是正在暴露的密碼一樣的敏感數據。此特定的服務器錯誤配置也有時在9月9日之前已修復,然後在全部失誤向公眾提供之前。
還指出,Razer既要感謝客戶,又對最近的失誤表示歉意,並且他們採取了所有必要的步驟,以解決此問題,並實際對自己的IT系統和安全性進行了全面的徹底審查。
還指出,他們仍然非常致力於確保自己所有客戶的穩固數字安全和安全。
另請閱讀:未來派智能咖啡桌的售價為$ 29.99:合法還是騙局?發現了創業“ Coosno”的Indiegogo資助活動!
Razer的已知要求
除了典型的硬件本身之外,Razer實際上是眾所周知的眾多內容之一,是需要一定的雲登錄,以便獲得與硬件有關的任何內容。該公司還提供了一定的統一配置程序稱為突觸,它利用單個接口來控制用戶的剃須刀裝備的每個界面。
直到去年的一段時間,Synapse實際上才能真正起作用,並且用戶無法配置自己的Razer Gear,其中包括更改鼠標分辨率甚至鍵盤背光,而無需實際登錄特定的雲帳戶。
整個突觸的當前版本允許不同的本地存儲的配置文件,以供某些互聯網使用,以及公司將其稱為特定的“訪客模式”,以繞過整個雲登錄。
另請閱讀:哎呀! CBP抓住了2,000個OnePlus Buds無線耳機,將其標記為假冒Apple Airpods!
本文由技術時報擁有
由Urian Buenconsejo撰寫
