Lỗi cấu hình máy chủ tìm kiếm Elasticsearch của nhà cung cấp phần thiết bị chơi game Razer dẫn đến vụ rò rỉ thông tin của hàng trăm nghìn người dùng.

Lỗ hổng này được phát hiện bởi chuyên gia bảo mật Volodymyr Diachenko vào tháng 8. Sau khi phát hiện lỗ hổng nói trên, Diachenko đã lập tức báo cáo cho Razer nhưng phải chờ tới hơn ba tuần sự cố mới được khắc phục.

Theo Diachenko, cụm mã Elasticsearch bị rò rỉ chứa các bản lưu trữ các thông tin nhạy cảm của hơn 100.000 người dùng như sản phẩm đã mua, địa chỉ email, số điện thoại, nơi cư trú… Về cơ bản, chúng gồm tất cả thông tin cần khai báo khi đặt hàng, ngoại trừ mã số thẻ.

Phản hồi trên Ars Technica, Razer xin lỗi về trục trặc ngoài ý muốn. Công ty cho biết, người dùng cần hỗ trợ có thể gửi yêu cầu về hòm thư [email protected].

“Razer đã nhận được thông báo của Volodymyr về lỗi cấu hình máy chủ có thể làm lộ thông tin chi tiết của đơn hàng và thông tin khách hàng. Lỗi cấu hình đã được khắc phục từ ngày 9/9, trước khi công bố chính thức. Chúng tôi chân thành xin lỗi khách hàng về sự cố này”, đại diện Razer nói. “Chúng tôi đã thực hiện các bước cần thiết để giảm thiểu thiệt hại và đánh giá hệ thống bảo mật một cách toàn diện. Razer cam kết sẽ đảm bảo an toàn thông tin cho tất cả khách hàng”.

Yếu điểm của Synapse

Ngoài chất lượng, khả năng đồng bộ dữ liệu lên đám mây là yếu tố gắn liền với sản phẩm mang thương hiệu Razer. Thông qua việc đăng nhập vào Synapse, người dùng có thể quản lý thiết bị Razer và khôi phục thiết lập có sẵn như tốc độ chuột hoặc đèn nền bàn phím.

Năm ngoái, một bộ phận người dùng đã phàn nàn về việc họ buộc phải đăng nhập để sử dụng đầy đủ tính năng trên Synapse. Ở phiên bản hiện tại, công ty bổ sung chế độ “Guest Mode” cho phép phần mềm hoạt động mà không cần kết nối Internet.

Tuy nhiên, bất kỳ nền tảng lưu trữ nào cũng có điểm yếu. Razer đã phải trao thưởng 28 lần chỉ trong một năm cho tài khoản trên HackerOne mang tên s3cr3tsdn vì tìm ra những lỗ hổng trong hệ thống của hãng.

Tất nhiên, nỗ lực của Razer rất đáng hoan nghênh. Nhưng công bằng mà nói, vụ rò rỉ thông tin của hàng trăm nghìn người dùng sẽ không xảy ra nếu Razer không cương quyết gắn liền chức năng của thiết bị với cơ sở dữ liệu.

Cách giảm thiểu rủi ro

Dù không thực sự nghiêm trọng, thông tin rò rỉ khỏi cơ sở dữ liệu của Razer vẫn có nguy cơ bị khai thác trong các phi vụ lừa đảo. Ví dụ, kẻ lừa đảo có thể giả danh nhân viên Razer gửi e-mail, gọi điện hay thậm chí đến tận nơi cư trú để yêu cầu khách hàng tiết lộ mật khẩu và số thẻ tín dụng.

Hiện nay, người dùng gần như không có quyền kiểm soát thông tin khai báo khi đăng ký dịch vụ số. Vì vậy, hãy cân nhắc kỹ lưỡng khi cung cấp dữ liệu cá nhân. Bên cạnh đó, người dùng cần đề phòng những chiêu trò lừa đảo thường gặp và xem xét cẩn thận trước khi nhấp chuột vào bất kỳ đường dẫn nào trong e-mail hay đăng nhập tài khoản trên các trang web.

Trần Trường CBM (theo Ars Technica)