Zotac si è resa protagonista di uno sfortunato incidente di sicurezza delle informazioni con l’esposizione non intenzionale delle richieste di autorizzazione alla restituzione di merce (RMA) e della relativa documentazione. Le informazioni e i documenti sono stati liberamente accessibili per un periodo di tempo al momento non chiaro.
La causa dell’incidente è stata una configurazione non corretta delle cartelle web contenente i dati e i dcumenti di RMA: questo ha permesso ai motori di ricerca di indicizzarle e renderle disponibili ad una ricerca online. Si tratta di un errore che discende, normalmente, da autorizzazioni e permessi non adeguati e dalla mancanza di un tag o del file robots.txt che impediscono ai crawler dei motori di ricerca di accedere a queste informazioni.
La situazione è emersa quando si è scoperto che semplici ricerche su Google, usando nomi di persone o aziende con il parametro “site: zotacusa.com” restituivano informazioni personali come fatture, indirizzi, dettagli delle richieste e informazioni di contatto dei clienti della società.
With the help of a viewer, we have discovered a major breach of privacy at a hardware vendor whereupon GN was able to download customer personal information, addresses, phone numbers, and also business-to-business invoices & orders. The company has not replied to GN. We have 1/3
— GamersNexus (@GamersNexus) July 5, 2024
E’ stato un utente di YouTube, iscritto al canale GamersNexus, a scoprire il tutto, segnalando il problema al canale. Inizialmente la notizia è stata riportata pubblicamente senza rivelare l’identità dell’azienda coinvolta, che è stata contattata privatamente per condividere il problema.
Zotac USA ha affrontato immediatamente la situazione, adottando le contromisure e le impostazioni adeguate per proteggere i dati e la documentazione, oltre a disattivare il form di invio dei moduli RMA, che devono ora essere spediti tramite e-mail. Alcuni dati sono tuttavia ancora accessibili dai risultati delle ricerche di Google.