Razer : Les données de 100.000 clients exposées en ligne, la base de données n’était pas protégée

CYBERSÉCURITÉ Razer a mis beaucoup de temps à colmater la faille, créant un réel risque pour la confidentialité des données

20 Minutes avec agence

— 

Des données informatiques. Illustration.
Des données informatiques. Illustration. — S. Salom-Gomis - Sipa

Razer, constructeur de matériel pour jeux vidéo, a laissé une base de données contenant des données personnelles accessible sans protection pendant plusieurs semaines. Cent mille clients de son site Web sont concernés, rapporte Numerama.

Le prénom, le nom, l’e-mail, le numéro de téléphone, les numéros de commande, ainsi que les adresses de facturation et de paiement des clients étaient disponibles en ligne. La faille a été repérée par Bob Diachenko, un chercheur en cybersécurité, qui a prévenu l’entreprise le 18 août dernier.

Une faille colmatée tardivement

Mais Razer a mis beaucoup de temps à colmater la faille. C’est seulement le 9 septembre que le problème a été réglé. « Aucune donnée sensible telle que les numéros de carte de crédit ou les mots de passe n’a été exposée », précise l’entreprise dans un communiqué.

En effet, rien n’indique que quelqu’un ait prélevé des données de cette base. On estime cependant qu’il faut moins de 9 heures pour télécharger le contenu d’une base de données non protégée. En onze jours, c’est donc au moins 150 personnes qui auraient pu accéder aux données.

La faille est la conséquence d’une mauvaise configuration d’un serveur fonctionnant avec ElasticSearch, un outil très efficace, mais qui exige beaucoup d’attention pour le sécuriser. Les problèmes avec Elasticsearch sont courants. Ils ont déjà touché Microsoft, la plateforme du Service civique ou encore des forums de BDSM.