Хакер #305. Многошаговые SQL-инъекции
Компания Zotac, производящая компьютерное оборудование, по ошибке раскрывала данные о запросах на возврат товаров и связанные с этим документы в течение неизвестного периода времени. Как оказалось, конфиденциальная информация о клиентах была доступна даже в поиске Google.
Судя по всему, сотрудники компании Zotac, которая производит компактные и мини-ПК, видеокарты, материнские платы и различные аксессуары, неправильно сконфигурировали папки, в которых хранились данные о возвратах товаров, в результате чего те индексировались поисковыми системами.
Обычно такое происходит из-за неправильно настроенных прав доступа, отсутствия тегов или файла robots.txt, который указывал бы поисковым машинам, что нужно игнорировать папки с конфиденциальными данными.
Из-за ошибки компании поисковые запросы в Google возвращали имена людей и названия компаний, а параметр zotacusa.com и вовсе помогал обнаружить личную информацию, включая инвойсы, адреса, данные о запросах на возврат и контактную информацию.
Эту утечку, которая затронула неизвестное количество пользователей Zotac, обнаружил зритель YouTube-канала GamersNexus. Канал предупредил о проблеме в конце прошлой недели в социальной сети X, сначала не раскрыв название компании. Лишь в опубликованном позже видео представители YouTube-канала рассказали, что от инцидента пострадали клиенты американского представительства Zotac.
GamersNexus проинформировал о проблеме саму компанию и крупнейших партнеров Zotac, и в настоящее время уже предпринимаются меры по исправлению ситуации. Так, большая часть данных уже защищена, и хотя они по-прежнему появляются в поисковой выдаче Google, большинство приватных документов уже недоступны для всех желающих.
Также GamersNexus сообщает, что Zotac отключила функцию загрузки документов на своем портале возврата товаров и теперь просит клиентов присылать файлы по электронной почте.