Luego de intentar de que lo escuchen por más de tres semanas, finalmente el investigador de seguridad Volodymyr «Bob» Diachenko pudo lograr que Razer, fabricante de hardware para juegos, tomara en serio la amenaza de seguridad para sus clientes por una mala configuración de uno de sus servidores de Elasticsearch que ocurrió el 18 de Agosto pasado.
De acuerdo a Diachenko, esta mala configuración que solucionada el 9 de Septiembre pasado, dejaba expuesta al público la información de hasta 100.000 clientes.
La base de datos desprotegida contiene datos como nombres del usuario, correo electrónico, número de teléfono y direcciones de envío, las cuales podrían haber sido usadas fácilmente para lanzar un ataque de phishing.
Por suerte y según Razer, las contraseñas e información de tarjetas de crédito no fueron comprometidas.
Como bien les comenté al principio, tomó más de 3 semanas para que Razer respondiera a Diachenko, luego que este intentó en vano contactar a la empresa en múltiples ocasiones.
En un artículo escrito en LinkedIn por Diachenko, se puede leer la respuesta de Razer agradeciendo al investigador de seguridad por notificarlos del problema:
El Sr. Volodymyr nos informó de una mala configuración del servidor que potencialmente expuso los detalles de pedidos, información del cliente y de envíos. No se expuso ningún otro dato sensible como números de tarjetas de crédito o contraseñas.
La configuración errónea del servidor fue arreglada el 9 de septiembre, antes de que el problema se hiciera público.
Nos gustaría agradecerle, disculparnos sinceramente por el lapso y hemos tomado todas las medidas necesarias para arreglar el problema, así como llevar a cabo una revisión exhaustiva de nuestros sistemas y seguridad informática. Seguimos comprometidos a garantizar la seguridad digital y la seguridad de todos nuestros clientes.