国外一名安全专家 Volodymyr“ Bob” Diachenko上月发现,知名游戏硬件制造商雷蛇由于错误配置了云服务器,导致大量用户的个人信息被泄露。泄露内容包含了客户的姓名、电话、邮件、送货信息、内部 ID 以及送货地址。
在 8 月 18 日,Bob 发现储存在 Elasticsearch 云集群的日志块(log chunk)被错误配置为公开访问状态,这就意味着大量用户信息能够通过搜索引擎直接查看。Bob 表示:当前并不清楚这会造成多大范围的影响,但根据当前泄露的邮件情况来看,可能在 10 万人左右。
Bob 在发现这件事以后就立刻向雷蛇写了邮件,希望能共同处理这个问题,可是雷蛇方面并没将该风险报告给相关的技术处理人员。在 Bob 与各种不相关员工沟通三个月无效后,该集群被公开访问。
Bob 提醒:“犯罪分子可能利用客户记录发起有针对性的网络钓鱼攻击,其中诈骗者冒充Razer或相关公司。” “客户应随时注意发送到其电话或电子邮件地址的网络钓鱼尝试。恶意电子邮件或消息可能会鼓励受害者单击假登录页面的链接或将恶意软件下载到他们的设备上。”
昨天,雷蛇官方在 Linkedin 上回复了Bob,表示他们已经于 9 月 9 日修复了该问题,并且针对系统安全性做了全方位的检查。雷蛇还表示,此次的泄露只包括订单详细信息,客户和运输信息,并没有涉及到信用卡、密码以及其他隐私内容。
我们暂不清楚这个问题影响范围有多大,不过由于国内官网并没有商城系统,所以国内用户面临的最主要还是邮件泄露问题。如果有在雷蛇官网注册账号的用户,近期还是多多注意自己的邮件,防止被非官方邮件欺诈。
【安全圈】令人担忧:儿童手表存在漏洞,黑客可随意窃听
【安全圈】SK 海力士、LG 电子被黑 50GB 机密文件被加密勒索
【安全圈】毕马威误删,14.5万个账号清零,微软确认数据不可恢复
【安全圈】微软:多个国家背景的黑客组织干扰今年美国大选
【安全圈】价值10000美元的谷歌地图XSS漏洞
【安全圈】蓝牙 BLURtooth 漏洞让攻击者覆盖蓝牙认证密钥
【安全圈】中国称驻英大使刘晓明的推特帐户被黑
【安全圈】爱尔兰要求 Facebook 停止向美国传送欧洲用户数据
【安全圈】黑客导致阿根廷边境口岸一度瘫痪,要求400万美元BTC赎金
【安全圈】里程盗刷、买卖“黑产”猖獗,吴磊、江映蓉、李晨等明星中招!
【安全圈】滥用Windows 10主题可窃取Windows密码
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论