Mise à jour du 15/09 à 8h40 : Dans un communiqué officiel que Razer nous a fait suivre, la marque confirme que la faille a bel et bien été corrigée le 9 septembre, "avant qu'elle n'ait été rendue publique". Razer renouvelle également ses excuses quant au délai de traitement de cette brèche, induit par un "examen minutieux de la sécurité informatique et des systèmes".
Non content de commercialiser des chewing-gums pour gamers, Razer pédale également dans la semoule. Alertée par le chercheur en cybersécurité Bob Diachenko d’une faille sur ses serveurs le 18 août dernier, l’entreprise aura mis plus de deux semaines à colmater la brèche — occasionnant par la même la fuite de plus de 100 000 entrées relatives à des données clients.
Si vous avez déjà passé commande sur le site officiel Razer, peut-être êtes-vous concerné par la fuite qui a laissé un accès libre aux adresses email, noms, prénoms, numéros de téléphone, numéros de commande et adresse de facturation de près de 100 000 clients.
Aucune donnée sensible exposée
Outre ces données, Razer explique dans un communiqué remerciant Bob Diachenko qu’« aucune autre donnée sensible comme les numéros de carte de crédit ou les mots de passe n’ont été exposés » par cette brèche.
Mais quant à savoir combien de personnes ont eu accès aux données laissées en libre accès par Razer, impossible d’en être certain. Une récente étude estime qu’une base de données laissée sans protection sur Internet est téléchargée au moins une fois en neuf heures. 11 jours plus tard, au moins 150 personnes se la seront échangée.
En prenant en compte le temps de latence particulièrement long de Razer pour réparer son erreur, et en gardant en tête que la faille était sans doute préexistante à sa découverte par Bob Diachenko, il est possible qu’un grand nombre de personnes soit désormais en possession des données de Razer.
Une erreur de configuration à l’origine de la faille
L’erreur commise par Razer est commune. Il s'agit d'une anomalie de configuration au niveau du serveur ElasticSearch, un outil très largement utilisé dans le monde afin d’indexer d’importantes bases de données. Problème : la moindre négligence dans l’utilisation d’ElasticSearch peut laisser n’importe qui accéder aux précieuses données qu’il agrège.
À cela s’ajoute un deuxième inconvénient. Si la faille n’est pas rapidement identifiée, et promptement corrigée, la base de données peut se retrouver indexée sur des moteurs de recherche comme Shodan et donc compromettre d’autant plus les précieuses informations qu’elle recèle.
Récemment, ce sont des fournisseurs de VPN, un site de webcams pour adultes et même Facebook qui en ont fait les frais.
