O fabricante de hardware Zotac expôs online solicitações de autorização de retorno de mercadoria (RMA) e documentos relacionados por um período desconhecido, expondo informações sensíveis de clientes.
Zotac, conhecida por sua linha de PCs compactos e mini PCs, placas gráficas de alto desempenho, placas-mãe e acessórios para computador, configurou incorretamente as pastas web que armazenam dados de RMA, resultando na indexação dessas por motores de busca.
Isso é geralmente resultado de permissões inadequadas que restringem o acesso apenas a usuários autorizados, ou seja, aos funcionários da Zotac, e a falta de tags ou um arquivo 'robots.txt' que instruiria os crawlers a excluir as pastas sensíveis.
Como resultado, consultas no Google Search contendo nomes de pessoas ou empresas junto ao parâmetro do site 'zotacusa.com' revelaram informações pessoais como faturas, endereços, detalhes de solicitações e informações de contato.
O lapso, que afeta um número desconhecido de clientes Zotac, foi descoberto por um espectador do canal de tecnologia GamersNexus no YouTube.
O canal noticiou o vazamento na semana passada no X sem nomear o fabricante de hardware.
Enquanto isso, GamersNexus informou alguns dos maiores parceiros da Zotac para aumentar a conscientização sobre a exposição de dados sensíveis, e os esforços de remediação estão em andamento.
O canal do YouTube revelou que o culpado era a Zotac USA através de um vídeo publicado ontem, após receber uma resposta da empresa.
A maioria dos dados agora foi protegida, embora eles ainda apareçam no Google Search.
Dito isso, a maioria dos documentos privados não está mais acessível publicamente.
GamersNexus eventualmente entrou em contato com um porta-voz da Zotac, que lhes disse que desativaram o botão de upload de documentos em seu portal RMA e agora pedem aos clientes para enviarem os arquivos acompanhando suas solicitações por email.
Se você utilizou o serviço de RMA da Zotac em algum momento, deve considerar suas informações pessoais expostas e tomar as precauções necessárias para mitigar o risco.
Como a duração da exposição é atualmente desconhecida, não há datas "seguras" de RMA.
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...