[English]Beim Anbieter Razer hat es ein Datenleck gegeben. Die Daten von Tausenden Razer-Kunden mit Bestellungen und Versanddetails standen über eine offene und ohne Kennwort geschützte Datenbank offen im Internet.
Anzeige
Razer ist laut eigenen Angaben die weltführende Lifestyle-Marke für Gamer. Die Razer, Inc. ist ein weltweit tätiges Unternehmen, das Spielhardware herstellt, sowie Esports- und Finanzdienstleistungen anbietet. Der Anbieter von High-End-Spiele-Hardware setzt diese auch über einen Online-Shop (RazerStore) ab. Sicherheitsforscher Bob Diachenko ist gemäß nachfolgendem Tweet auf eine offene Datenbank mit Kundendaten dieses Anbieters, die per Internet erreichbar war, gestoßen.
Der Gaming-Hardware-Gigant Razer Inc. hat kürzlich einen Datenschutzvorfall erlebt, bei dem Kunden-E-Mails, Telefonnummern, Liefer- und Rechnungsadressen und vieles mehr online veröffentlicht wurden. Der Sicherheitsforscher hat eine kurze Zusammenfassung auf LinkedIn veröffentlicht.
(Razer-Kundendaten, Zum Vergrößern klicken)
Anzeige
Elasticsearch-Cluster ungeschützt im Internet
Diachenko ist bei Recherchen auf eine nicht per Passwort-geschützte Datenbank gestoßen, die per Internet erreichbar war. Zu den offengelegten Informationen (siehe obiges Bild) gehören vollständiger Name, E-Mail, Telefonnummer, interne Kunden-ID, Auftragsnummer, Auftragsdetails, Rechnungs- und Lieferadresse.
Die genaue Zahl der betroffenen Kunden muss noch ermittelt werden, da die Datenbank ursprünglich Teil eines großen Log-Blocks war, der auf dem Elasticsearch-Cluster eines Unternehmens gespeichert war. Der Elasticsearch-Cluster war seit dem 18. August 2020 falsch konfiguriert und öffentlich per Internet erreichbar. Die Datenbank wurde von öffentlichen Suchmaschinen indexiert.
Ausgehend von der Anzahl der exponierten E-Mails schätzt Diachenko die Gesamtzahl der betroffenen Kunden auf etwa 100.000. Der Sicherheitsforscher hat das Unternehmen zwar sofort über entsprechende Kanäle über diese Datenschutzverletzung benachrichtigt. Der der Hinweis hat offenbar nie die richtigen Personen innerhalb des Unternehmens erreicht. Wie Diachenko schreibt, wurde die Information mehr als 3 Wochen lang von nicht-technischen Unterstützungsmanagern bearbeitet, bis die Instanz der Elasticsearch-Cluster vor dem öffentlichen Zugriff per Internet geschützt wurde.
Das Risiko solcher Datenlecks
Die Kundendaten könnten von Kriminellen, die möglicherweise auf die Daten zugegriffen haben, verwendet werden, um gezielte Phishing-Angriffe auf Razer-Kunden zu starten. Bei solchen Phishing-Angriffen geben sich die Cyber-Kriminellen als Razer oder ein verbundenes Unternehmen aus, da die Kundendaten ja bekannt sind. Razer-Kunden sollten nach Phishing-Versuchen Ausschau halten, die an ihre Telefon- oder E-Mail-Adresse gesendet werden. Bösartige E-Mails oder Nachrichten könnten die Opfer dazu verleiten, auf Links zu gefälschten Anmeldeseiten zu klicken oder Malware auf ihr Gerät herunterzuladen.
Anzeige