Le fabricant de manettes de jeu SCUF Gaming expose 1,1 million de dossiers clients sur le Web sans mot de passe
Une base de données clients de plus de 1,1 million d'enregistrements a été exposée sur le Web par SCUF Gaming, fabricant de manettes de jeu haut de gamme et d'autres périphériques de jeux vidéo. La base de données comprenait les noms des clients, leurs coordonnées, leurs informations de paiement, leurs historiques de commandes et leurs tickets de réparation, entre autres données.
L’équipe de recherche en sécurité de Comparitech dirigée par Bob Diachenko a découvert les données, qui étaient accessibles sur le Web sans mot de passe ni aucune autre authentification. Les données ont été exposées pendant environ deux jours avant que nous les découvrions et que nous signalions l'incident au SCUF.
Au moment où nous avons trouvé la base de données, elle contenait déjà une note apparemment laissée par des criminels exigeant une rançon. Il indiquait : « Votre base de données est téléchargée et sauvegardée sur nos serveurs sécurisés. Pour récupérer vos données perdues, envoyez 0,3 BTC à notre adresse BitCoin et contactez-nous par e-mail. [sic]
Les clients SCUF pourraient être exposés à des risques de fraude et d'attaques de phishing ciblées perpétrées par des criminels qui auraient pu accéder aux données.
Un porte-parole de Corsair, la société mère de SCUF Gaming, a répondu à Comparitech par une déclaration disant :
«[…] Une fois avertis, nous avons identifié la cause première de cette exposition et sécurisé la base de données dans un délai de deux heures. En enquêtant sur l’avertissement de M. Diachenko, nous avons également découvert qu’un robot s’était connecté au serveur de la base de données et y avait placé une demande de rançon. Nous n’avons aucune preuve que le robot ou tout autre acteur ait pu détourner les données des clients.
Ce problème était spécifique à un système, exploité hors site en raison des précautions de travail à domicile résultant de la pandémie actuelle de COVID-19.
Chronologie de l'exposition
La base de données a été exposée pendant moins de 48 heures selon notre enquête, mais cela a été suffisamment long pour qu'une partie non autorisée puisse y accéder. Un porte-parole de Corsair a déclaré à Comparitech qu'il s'agissait d'un robot automatisé, déclarant : « Le script du robot […] n'a crypté/supprimé aucune donnée et n'a pas été connecté assez longtemps au serveur pour télécharger la base de données. »
- 2 avril 2020 – La base de données a été indexée par le moteur de recherche BinaryEdge.
- 3 avril 2020 – Comparitech a découvert la base de données et Bob Diachenko en a immédiatement informé SCUF Gaming.
- 3 avril 2020 – La base de données a été sécurisée dans les deux heures suivant sa divulgation.
La plupart des records semblent avoir été collectés par SCUF Gaming entre 2017 et 2020.
Quelles données ont été exposées
La base de données comprenait à la fois des informations sur les clients et les employés, même si les clients en représentaient la grande majorité.
- 1 128 649 enregistrements contenant les noms complets, les adresses e-mail, les adresses de facturation, les adresses de livraison, les numéros de téléphone et l'historique des commandes
- 991 478 enregistrements contenant des détails de paiement, notamment des numéros de commande, des numéros partiels de carte de crédit, des dates d'expiration de carte de crédit, des montants de commande et des identifiants de transaction.
- 754 dossiers du personnel de SCUF Gaming, y compris les noms d'utilisateur, les noms complets, les mots de passe cryptés, les adresses e-mail, les rôles d'utilisateur et les identifiants de session
- 144 379 enregistrements avec les détails des ordres de réparation
En plus des données clients, certaines clés API internes cryptées ont été exposées.
Les identifiants de session des employés n'étaient valides que pendant 24 heures et n'incluaient aucun identifiant de session client.
Dangers des données exposées
Les enregistrements clients pourraient être utilisés par des criminels pour lancer des attaques de phishing ciblées dans lesquelles l'escroc se fait passer pour SCUF Gaming ou une société liée. Les clients doivent être à l’affût des tentatives de phishing envoyées sur leur téléphone ou leur adresse e-mail. Les e-mails ou messages malveillants peuvent encourager les victimes à cliquer sur des liens vers de fausses pages de connexion ou à télécharger des logiciels malveillants sur leur appareil.
Les informations personnelles et les détails de paiement pourraient être utilisés à des fins frauduleuses. Les numéros de carte de crédit étaient pour la plupart expurgés, ne montrant que les quatre derniers chiffres. Il n’est donc pas nécessaire d’annuler immédiatement votre carte de crédit : gardez simplement un œil sur les activités inhabituelles sur les relevés de compte.
Bien que les dossiers du personnel ne représentent qu’une infime fraction des données globales, ils sont potentiellement plus précieux pour les criminels. Ces informations pourraient être utilisées pour lancer d’autres cyberattaques contre l’entreprise.
Les employés dont les coordonnées ont été exposées sont également exposés à des attaques de phishing.
À propos de SCUF Gaming
SCUF Gaming est un fabricant et une marque américaine de manettes de jeu hautes performances et d'autres périphériques de jeux vidéo. Elle a été fondée en 2011. Elle appartient aujourd'hui à Corsair Components, une société américaine de périphériques et de matériel informatique. Les manettes de jeu peuvent être personnalisées et coûtent généralement entre 150 et 200 dollars.
Les clients remettent leur paiement et leurs informations personnelles lorsqu'ils passent une commande. Ils peuvent également créer un compte permettant des paiements plus rapides, plusieurs adresses et un suivi des commandes.
Les produits SCUF sont assortis d'une garantie et offrent un service client en ligne, de sorte que la société stocke également les détails des réparations et des remboursements.
Comment et pourquoi nous avons signalé cette exposition
Comparitech travaille avec le chercheur en sécurité Bob Diachenko pour rechercher et signaler les données personnelles exposées sur le Web. Dès que nous découvrons une exposition, nous lançons immédiatement une enquête pour savoir à qui elle appartient, qui pourrait être concerné, quelles informations ont été exposées et quelles pourraient être les conséquences potentielles.
Nous informons d'abord les responsables afin que les données puissent être sécurisées. Nous publions ensuite un rapport comme celui-ci pour alerter les utilisateurs qui pourraient être concernés et atténuer les dommages potentiels.
Notre objectif est de freiner les attaques malveillantes pouvant résulter de l’exposition de données personnelles, telles que la fraude à l’identité et le phishing.
Rapports d'incidents de données précédents
Notre équipe a découvert plusieurs expositions de données affectant des millions de personnes, telles que :
- 42 millions d’identifiants et de numéros de téléphone iraniens du « Telegram » divulgués en ligne
- 8 millions de dossiers d'achats au Royaume-Uni dévoilés
- 250 millions de dossiers de service client et d’assistance Microsoft exposés
- 267 millions d’identifiants d’utilisateurs et de numéros de téléphone Facebook exposés en ligne
- 2,7 milliards d'adresses e-mail exposées provenant principalement de domaines chinois, dont 1 million incluaient des mots de passe
- Dossiers personnels détaillés de 188 millions de personnes découverts sur le Web
- 7 millions de dossiers d'élèves dévoilés par K12.com
- 5 millions de dossiers personnels appartenant à MedicareSupplement.com exposés au public
- 2,8 millions de dossiers clients CenturyLink exposés
- Fuite de 700 000 dossiers clients de Choice Hotels