Razer, una delle aziende leader mondiali specializzate nella produzione e distribuzione di prodotti hardware per gamer professionisti, è stata vittima di un data leak che a causa di un errore di configurazione di un cluster Elasticsearch ha comportato l’esposizione dei dati di circa 100 mila clienti. Risultano infatti essere state rese pubblicamente accessibili e ricercabili le informazioni relative ad un database cloud degli ordini, e sebbene la violazione di sicurezza non abbia riguardato i dati di pagamento il fatto comporta certamente un rischio rilevante per gli interessati coinvolti. I dati degli ordini, infatti, sono idonei a rivelare informazioni relative ai prodotti acquistati, ai recapiti elettronici e fisici, nonché i dati di contatto telefonici, e possono essere dunque impiegati per svolgere attacchi mirati di phishing.
Adesso è infatti possibile per chi abbia avuto accesso al database ottenere un profilo sommario dei vari clienti grazie allo storico degli acquisti, potendo così provvedere ad una stima della disponibilità economica e, soprattutto, progettare azioni fraudolente che possono far leva sugli acquisti effettuati. La maggiore credibilità delle comunicazioni contraffatte sarà data infatti dalla loro riferibilità ai prodotti che sono effettivamente stati oggetto di acquisto, e le tipologie di falsa comunicazione per veicolare gli attacchi potranno riguardare, ad esempio, interventi di assistenza, alert di sicurezza, avvisi di ritiro prodotto o offerte a scadenza. Inoltre, potendo sfruttare i contatti telefonici, la campagna d’attacco potrà estendersi anche a tentativi di smishing o vishing per tentare di carpire la fiducia della vittima e convincerla a scaricare un allegato malevolo, accedere ad un link o conferire i propri dati personali all’interno di un sito scam.
L’accaduto conferma quanto oramai la sicurezza delle informazioni risponda ad esigenze concrete di protezione del business e dell’immagine aziendale e, soprattutto, di tutela dei soggetti cui tali informazioni si riferiscono. La diffusione di un set di dati personali anche non idoneo a rivelare particolari significativi relativi alla vita degli interessati è un fatto che espone comunque a rischi concreti e rilevanti, dal momento che tali informazioni possono essere ad esempio collegate con altri database, ottenendo così set di informazioni complete (e, in alcuni casi, particolarmente sensibili), o anche impiegate per dirigere attacchi mirati progettati secondo le efficaci tecniche dell’ingegneria sociale.
È noto ed attuale che il settore del gaming sia negli ultimi anni nel mirino dei cybercriminali e ciò significa che le esigenze di protezione di sistemi e database dovranno necessariamente considerare tale fattore di contesto per la corretta analisi e predisposizione delle misure adottate per la mitigazione dei rischi.
