Im August entdeckte der Sicherheitsforscher Volodymyr Diachenko einen falsch konfigurierten Elasticsearch-Cluster, der dem Gaming-Hardware-Hersteller Razer gehört und die Persönlichen Daten der Nutzer veröffentlichte.
Der Cluster enthielt Datensätze von Kundenbestellungen und enthielt Informationen wie den gekauften Artikel, Kunden-E-Mail, (physische) Kundenadresse, Telefonnummer und so weiter – im Grunde alles, außer die Kreditkartennummern. Der Elasticseach-Cluster war nicht nur der Öffentlichkeit zugänglich, sondern wurde auch von öffentlichen Suchmaschinen indexiert.
I must say I really enjoyed my conversations with different reps of @Razer support team via email for the last couple of week, but it did not bring us closer to securing the data breach in their systems. pic.twitter.com/Z6YZ5wvejl
— Bob Diachenko (@MayhemDayOne) September 1, 2020
Diachenko meldete den falsch konfigurierten Cluster – der ungefähr 100.000 Benutzerdaten enthielt – sofort an Razer. Sein Bericht wurde mehr als drei Wochen lang von Supportmitarbeiter zu Supportmitarbeiter weitergereicht, bevor das Problem schließlich gelöst wurde.
Razer veröffentlichte folgende Erklärung bezüglich des leaks:
Wir wurden von Mr. Volodymyr auf eine Server-Fehlkonfiguration aufmerksam gemacht, durch die möglicherweise Bestell-, Kunden- und Versandinformationen offengelegt wurden. Es wurden keine anderen sensiblen Daten wie Kreditkartennummern oder Passwörter preisgegeben.
Die Server-Fehlkonfiguration wurde am 9. September behoben, bevor der Fehler öffentlich wurde.
Wir möchten uns bei Ihnen bedanken, entschuldigen uns aufrichtig für den Fehler und haben alle notwendigen Schritte unternommen, um das Problem zu beheben. Es wurde eine gründliche Überprüfung unserer IT-Sicherheit und Systeme durchgeführt. Wir sind weiterhin bestrebt, die digitale Sicherheit aller unserer Kunden zu gewährleisten.
Razer und die Cloud
Abgesehen von der Hardware, ist Razer auch dafür bekannt das man für all Ihre Software einen Cloud-Login benötigt. Die Firma bietet ein Konfigurationsprogramm namens Synapse, an, das über eine einzige Oberfläche die gesamte Razer-Ausrüstung eines Benutzers steuert.
Erst seit letztem Jahr dürfen die Benutzer ihre Razer-Ausrüstung auch ohne Cloud-Account konfigurieren. Es war also nicht einmal möglich DPI der Maus oder die Hintergrundbeleuchtung der Tastatur ohne Zugang zum Cloud zu ändern. Die aktuelle Version von Synapse erlaubt jedoch mittlerweile lokal gespeicherte Profile für die Offline-Nutzung und einen „Gastmodus“, um den Cloud-Login zu umgehen.
Viele Spieler sind verärgert über die Notwendigkeit eines Cloud-Accounts für die Hardware-Konfiguration. Das ist verständlich, da die Cloud-Funktionalität auch mit allen dazugehörigen Sicherheitslücken einhergeht.
Warum leaks wie dieses so gefährlich sind
Die Informationendie durch Razers falsch konfigurierten Elastisearch-Cluster aufgedeckt werden sind privat.
Hacker können die Daten die hier geleakt worden sind nutzen um Phishing-Betrug zu betreiben. Bewaffnet mit genauen Angaben über die letzten Bestellungen der Kunden und deren physischen-, sowie Email-Adressen können sich Hacker problemlos als Razer-Mitarbeiter ausgeben und Kunden dazu zu bringen, Passwörter und/oder Kreditkartendaten preiszugeben.
Ein typisches E-Mail-Phishing-Szenario wäre eine Nachricht, die wie eine offizielle Mitteilung von Razer aussieht, zusammen mit einem Link zu einer gefälschten Anmeldeseite. Die Angreifer könnten sich aus der geleakten Datenbank eine herauspicken und diese Kunden dann telefonisch anrufen. „Hallo, „NAME“ , ich rufe von Razer an. Du hast am „DATUM“ eine Razer Blade 15 Base Edition für zum Preis von 2.599,99€ gekauft…..“. Das ist eine effektive Methode, um sofort das Vertrauen des Opfers zu gewinnen. Wer außer die Mitarbeiter bei Razer könnten denn schon wissen was und wann ich etwas Online bestellt habe? – Anscheinend jeder.
Wie schützt man sich vor solchen Angriffen?
Als Verbraucher kannst du leider wenig dagegen tun, wenn Unternehmen die Kontrolle über deine Daten verlieren. Stattdessen solltest du lieber den Anteil deiner Daten die du mit Unternehmen teilst so gering wie möglich zu halten. Zum Beispiel sollte kein Unternehmen jemals ein Passwort von dir haben, das auch für den Login in deinen E-Mail-Account benutzt werden kann. Du solltest auch immer genau schauen, ob du wirklich Cloud-basierte Konten mit persönlichen Daten nutzen musst oder ob es doch eine Möglichkeit gibt deine Daten lokal zu speichern.
Schließlich solltest du dir bewusst sein, wie Phishing- und Social-Engineering-Angriffe funktionieren und wie du dich davor schützen kannst. Vermeide es auf Links in E-Mails zu klicken, insbesondere auf Links die von dir einen Login verlangen. Schau genau nach wohin diese Links führen. In den meisten E-Mail-Anwendungen kann man sehen wohin eine URL führt, indem man ohne zu klicken den Mauszeiger darüber bewegt. Ebenso solltest du die Adressleiste deines Browsers im Auge behalten – der beliebteste Trick ist es das L und I im Domainnamen zu vertauschen. Ein kleines L sieht im Browser nämlich genau so aus wie ein großes i – so könntest du statt auf paypal(L).de ganz schnell auf paypaI(i).de landen, ohne das du es merkst.
