Razer a oublié de protéger les emails et numéros de téléphone de 100 000 clients
Razer accuse un raté dans sa sécurité : les données de 100 000 clients de son site razer.com ont été laissées pendant au moins trois semaines sans protection.
Le chercheur réputé Bob Diachenko, qui a découvert la fuite, a alerté Razer le 18 août. Malgré de nombreux échanges avec les équipes du constructeur de matériel pour gamers, la fuite n'a été réparée que plus de deux semaines plus tard. Si les entreprises sont jugées sur leur capacité à éviter les fuites de données, elles le sont encore plus sur leur capacité à réagir en cas d'incident.
Une expérience menée plus tôt dans l'année sur une base de données ouverte exposait qu'il fallait moins de 9 heures pour qu'une personne la télécharge. Et 11 jours plus tard, plus de 150 personnes y avaient eu accès. Autant dire que le délai de réaction de Razer est trop important pour que l'entreprise puisse garantir que les données n'ont pas fuité. Et encore, c'est sans compter que lorsque Bob Diachenko a découvert la base de données, elle était peut-être exposée depuis plus longtemps. Dans un communiqué relayé par Diachenko, Razer remercie le chercheur et précise « qu'aucune autre donnée sensible comme les numéros de carte de crédit ou les mots de passe n'ont été exposées. »
Si vous avez récemment commandé sur Razer, le chercheur rappelle qu'il vous faut redoubler de vigilance face aux messages que vous recevez. Des cybercriminels pourraient vous envoyer des emails de phishing sur votre email ou des SMS sur votre téléphone en utilisant les informations contenues dans la faille. Par exemple, ils peuvent savoir que vous avez commandé un clavier, et prétendre vous offrir un casque ou une souris. Leur objectif : dérober d'autres informations (comme vos données bancaires), ou vous faire installer un malware.
De son côté Razer met en avant une adresse de contact (américaine) pour les clients qui se poserait des questions. Dans un communiqué envoyé à Cyberguerre, l'entreprise écrit : « Nous nous excusons pour le laps de temps et nous avons pris toutes les mesures nécessaires pour réparer le problème, tout en conduisant une revue de notre sécurité informatique et de nos systèmes. Nous continuons à nous engager à respecter la sécurité numérique de tous nos clients. Les clients qui ont des questions peuvent nous contacter à [email protected]. »
L'erreur de Razer est malheureusement commune
Plus précisément, la fuite est causée par la mauvaise configuration d'un serveur Elasticsearch de Razer. Sorte de tableur Excel géant, cette technologie permet d'analyser et d'organiser d'importantes bases de donnés avec une grande efficacité. Seulement, sa sécurisation s'avère difficile à paramétrer, malgré les efforts des développeurs d'Elastic pour la rendre plus accessible.
Quand l'ElasticSearch est mal configuré, n'importe qui peut accéder à la base de donnée sans mot de passe, depuis un navigateur web, à condition d'avoir son adresse IP. C'est le cas de celle Razer, et cela signifie que n'importe qui peut la télécharger, la modifier ou la supprimer. Au bout d'une certaine durée d'exposition, elle finit par être indexée par des moteurs de recherches comme Shodan.
Ce problème de sécurité est tellement répandu que certains chercheurs comme Bob Diachenko se sont spécialisés dans leur traque. Le fautif est toujours le même : le port 9200 du serveur, l'expert sait donc où chercher.
Au moins, ces fuites sont faciles à réparer : quelques heures suffisent à mettre en place des identifiants pour se connecter à la base de données. Ce qui n'empêche pas des organisations comme Microsoft, le Service civique, des forums de BDSM et bien d'autres de ne pas voir la fuite.