Actualización: agregado el comunicado de Razer.
Volodymyr Diachenko, un investigador de ciberseguridad, dio a conocer una filtración de datos de hasta 100.000 clientes de Razer, el reconocido fabricante de ordenadores y accesorios de gaming. Según el reporte, la información se hizo pública debido a un error de configuración en un clúster de Elasticsearch, por lo que se trató de un accidente y no de una brecha de seguridad aprovechada por hackers.
Los datos personales de los usuarios, como sus nombres completos, correos electrónicos, números de teléfono, direcciones y productos previamente comprados, quedaron expuestos el 18 de agosto de 2020. Todavía más preocupante, la información se indexó en buscadores, por lo que prácticamente cualquier persona podía acceder a ellos sin demasiado esfuerzo. «Según el número de correos electrónicos expuestos, calculo que el número total de clientes es de alrededor de 100.000», mencionó Diachenko.
Desde luego, el investigador contactó a Razer inmediatamente después del hallazgo. Sin embargo, y como suele ser habitual en estos casos, parece que el mensaje no llegó a las personas adecuadas y tardó tres semanas en ser atendido. Por el momento se desconoce si los datos cayeron en manos de criminales; no lo sabremos hasta que la empresa conduzca una investigación o cuando se desate una oleada de scam.
Mientras ofrecen respuestas más claras, Razer reconoció que un error en la configuración de clúster causó la filtración. Asimismo, confirmaron haber solucionado el problema desde el pasado 9 de septiembre. La única buena noticia es que entre la información expuesta no estaban los datos bancarios o contraseñas de los usuarios, así que puedes estar tranquilo en ese sentido. Seguramente pronto se pondrán en contacto con aquellas personas cuya información se hizo pública.
Disculpas de Razer
Para finalizar, Razer emitió un comunicado para disculparse con su comunidad y prometer una mayor atención en la seguridad de su infraestructura: «Quisiéramos dar las gracias y ofrecer disculpas sinceras por el problema y anunciar que hemos tomado todos los pasos necesarios para arreglar el problema, así como llevar a cabo una revisión de toda nuestra seguridad y sistemas. Seguimos comprometidos a garantizar la seguridad digital y seguridad de todos los consumidores». Razer, además, ha contactado a Hipertextual con un mensaje que reproducimos íntegramente a continuación:
Un investigador de seguridad nos informó de una mala configuración del servidor que potencialmente exponía los detalles de pedidos, la información del cliente y del envío. No se expuso ningún dato sensible como números de tarjetas de crédito o contraseñas, y esta configuración incorrecta del servidor se solucionó el 9 de septiembre.
Nos disculpamos sinceramente por lo acontecido y hemos tomado todas las medidas necesarias para solucionar el problema, así como para realizar una revisión exhaustiva de nuestros sistemas y seguridad de IT. Seguimos comprometidos con garantizar la seguridad digital de todos nuestros clientes.
Todos esos clientes que tengan preguntas sobre esto pueden comunicarse con DPO@razer.com