Nieuws
image

Hardwarefabrikant Razer lekt privégegevens van 100.000 klanten

vrijdag 11 september 2020, 12:10 door Redactie, 2 reacties
Laatst bijgewerkt: 11-09-2020, 13:14

Hardwarefabrikant Razer, bekend van computermuizen en toetsenborden, heeft via een onbeveiligde database de privégegevens van zo'n honderdduizend klanten gelekt, zo meldt beveiligingsonderzoeker Bob Diachenko. Het ging onder andere om naam, e-mailadres, telefoonnummer, bestelgegevens, factuuradres en bezorgadres.

De data werd in een verkeerd geconfigureerde Elasticsearch-server aangetroffen. Elasticsearch is zoekmachinesoftware voor het indexeren van allerlei soorten informatie. Het wordt onder andere ingezet voor het doorzoeken van websites, documenten en applicaties, maar is ook te gebruiken voor analytics, monitoring en data-analyse.

De server stond sinds 18 augustus open voor het hele internet en was door verschillende zoekmachines geïndexeerd. Zo ontdekte Diachenko de server, waarna de onderzoeker Razer waarschuwde. Zijn melding kwam echter niet meteen bij de juiste mensen terecht, waardoor de server pas na meer dan drie weken werd beveiligd.

Update

Razer laat in een reactie aan Security.NL weten dat het excuses maakt voor het datalek en alle noodzakelijke maatregelen heeft genomen om het probleem te verhelpen. De verkeerde serverconfiguratie werd op 9 september aangepast, voordat Diachenko dit openbaar maakte. Klanten die nog vragen hebben kunnen met het bedrijf contact opnemen.

Reacties (2)
11-09-2020, 15:02 door Anoniem
Gecombineerd met het gegeven dat Razer lange tijd een account voor basale functionaliteit in de software vereiste maakt het extra pijnlijk. Inmiddels lijkt men ook een gastaccount toe te staan, maar veel mensen hebben jarenlang pas na aankoop ontdekt dat ze verplicht een mailadres moesten afstaan.

Sowieso zou het een hele verbetering zijn als fabrikanten helder moesten aangeven in hoeverre je hun servers nodig hebt voor functionaliteit. Tegenwoordig zijn de meest onbenullige zaken achter cloudgebeuren weggestopt, ook als daar overduidelijk geen enkele noodzaak voor is. Bij veel producten is totaal onduidelijk of dat het geval is en kom je daar pas na aankoop achter, of nog erger, verandert men het na verloop van tijd zoals Oculus dat nu an het doen is.
14-09-2020, 07:54 door Anoniem
Door Anoniem: Gecombineerd met het gegeven dat Razer lange tijd een account voor basale functionaliteit in de software vereiste maakt het extra pijnlijk. Inmiddels lijkt men ook een gastaccount toe te staan, maar veel mensen hebben jarenlang pas na aankoop ontdekt dat ze verplicht een mailadres moesten afstaan.

Sowieso zou het een hele verbetering zijn als fabrikanten helder moesten aangeven in hoeverre je hun servers nodig hebt voor functionaliteit. Tegenwoordig zijn de meest onbenullige zaken achter cloudgebeuren weggestopt, ook als daar overduidelijk geen enkele noodzaak voor is. Bij veel producten is totaal onduidelijk of dat het geval is en kom je daar pas na aankoop achter, of nog erger, verandert men het na verloop van tijd zoals Oculus dat nu an het doen is.

Helemaal eens. Als het over privacy gaat, dan zouden ze verplichte accounts die nergens voor nodig zijn moeten verbieden. Dit is wel het ultieme voorbeeld: "Een account voor een toetsenbord of muis!?!?!". Nog erger: producten die je verplichten om (ook) een account bij Facebook of Google te creëren, terwijl ze niets met deze dienstverleners van doen hebben. Zo is er een of andere VR bril die een Facebook account vereist.

Voor het verwerken van de bestelling heb je de gegevens slechts nodig totdat het product verzonden is en de garantieafhandeling kan prima via het serienummer. Zo ging het in het pre-internet tijdperk ook. Voor mijn Commodore 64 was ook geen account nodig.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure