国外一名安全专家 Volodymyr“ Bob” Diachenko上月发现,知名 游戏硬件制造商雷蛇由于错误配置了云服务器,导致大量用户的个人信息被泄露。泄露内容包含了客户的姓名、电话、邮件、送货信息、内部 ID 以及送货地址。
在 8 月 18 日,Bob 发现储存在 Elasticsearch 云集群的日志块(log chunk)被错误配置为公开访问状态,这就意味着大量用户信息能够通过搜索引擎直接查看。Bob 表示:当前并不清楚这会造成多大范围的影响,但根据当前泄露的邮件情况来看,可能在 10 万人左右。
Bob 在发现这件事以后就立刻向雷蛇写了邮件,希望能共同处理这个问题,可是雷蛇方面并没将该风险报告给相关的技术处理人员。在 Bob 与各种不相关员工沟通三个月无效后,该集群被公开访问。
Bob 提醒:“犯罪分子可能利用客户记录发起有针对性的网络钓鱼攻击,其中诈骗者冒充Razer或相关公司。” “客户应随时注意发送到其电话或电子邮件地址的网络钓鱼尝试。恶意电子邮件或消息可能会鼓励受害者单击假登录页面的链接或将恶意软件下载到他们的设备上。”
昨天,雷蛇官方在 Linkedin 上回复了Bob,表示他们已经于 9 月 9 日修复了该问题,并且针对系统安全性做了全方位的检查。雷蛇还表示,此次的泄露只包括订单详细信息,客户和运输信息,并没有涉及到信用卡、密码以及其他隐私内容。
我们暂不清楚这个问题影响范围有多大,不过由于国内官网并没有商城系统,所以国内用户面临的最主要还是邮件泄露问题。如果有在雷蛇官网注册账号的用户,近期还是多多注意自己的邮件,防止被非官方邮件欺诈。