Lỗ hổng bảo mật của ZOTAC làm lộ dữ liệu khách hàng trên Google Search
Mới đây, nhà sản xuất phần cứng ZOTAC đã phải đối mặt với một lỗ hổng bảo mật làm tiết lộ một số thông tin nhạy cảm của khách hàng. Do các chính sách bảo mật không đầy đủ trong hệ thống bán hàng của mình, dữ liệu quan trọng liên quan đến việc trả lại và đổi hàng đã bị trình thu thập thông tin của Google truy cập, dẫn đến thông tin nhạy cảm này xuất hiện trong các kết quả tìm kiếm của Google.
Dữ liệu bị làm lộ bao gồm: tên, số điện thoại, địa chỉ email và địa chỉ giao hàng của khách hàng. Đây những thông tin cực kỳ nhạy cảm đáng lẽ phải được bảo vệ một cách chặt chẽ. Thời gian bị lộ những thông tin này vẫn chưa được xác định, làm dấy lên lo ngại về khả năng những thông tin này có thể bị tin tặc lợi dụng với mục đích xấu.
Sự cố này lần đầu tiên được phát hiện bởi trang web công nghệ Gamers Nexus. Một biên tập viên đã phát hiện ra vi phạm khi tìm kiếm tên của họ trên Google và thấy một biểu mẫu bán hàng đã được gửi trước đó cho ZOTAC, có thể dễ dàng truy cập và tải xuống.
Theo quy trình sau bán hàng của ZOTAC, khách hàng được yêu cầu điền thông tin xác thực của mình vào biểu mẫu và tải lên hệ thống dịch vụ của ZOTAC. Quy trình này vô tình trở thành nguồn rò rỉ dữ liệu ban đầu. Thông thường, các tệp như vậy phải được bảo vệ bằng các biện pháp kiểm soát truy cập nghiêm ngặt, đảm bảo chỉ các thành viên có quyền truy cập mới có thể được xem chúng. Tuy nhiên, do các chính sách bảo mật máy chủ của ZOTAC có những thiếu sót nên các tệp này vẫn có thể truy cập và tải xuống công khai.
Hậu quả của lỗ hổng bảo mật này không chỉ giới hạn ở các khách hàng cá nhân. Gamers Nexus cũng phát hiện ra biên lai từ các công ty khác, chẳng hạn như Micro Center và iBuyPower, trong số dữ liệu bị lộ. Các biên lai này chứa thông tin nhạy cảm và làm nổi bật tác động rộng hơn của việc giám sát bảo mật của ZOTAC.
Sau khi phát hiện ra vi phạm, Gamers Nexus đã nhanh chóng gửi báo cáo bảo mật đến ZOTAC và các công ty bị ảnh hưởng khác. Mặc dù Google vẫn lập chỉ mục một số tệp liên quan đến các dịch vụ của ZOTAC, nhưng quyền đã được sửa đổi để ngăn chặn truy cập trực tiếp.
Để ngăn chặn việc tiếp tục tiết lộ dữ liệu, ZOTAC đã sửa đổi quy trình dịch vụ của mình. Nút tải lên, trước đây yêu cầu khách hàng phải gửi biểu mẫu điện tử, đã bị xóa. Khách hàng hiện được hướng dẫn gửi các biểu mẫu này qua email, do đó giảm nguy cơ tiết lộ dữ liệu trên Internet.
ZOTAC vẫn chưa đưa ra tuyên bố chi tiết về sự cố bảo mật này. Tổng số tệp bị lộ vẫn chưa được xác định, nhưng xét đến tần suất bán hàng cao, có khả năng hàng chục nghìn tệp tin có thể đã gặp rủi ro.
Theo Tạp chí An toàn thông tin