Zotac expõe dados de clientes
9 de Julho de 2024

O fabricante de hardware Zotac expôs online solicitações de autorização de retorno de mercadoria (RMA) e documentos relacionados por um período desconhecido, expondo informações sensíveis de clientes.

Zotac, conhecida por sua linha de PCs compactos e mini PCs, placas gráficas de alto desempenho, placas-mãe e acessórios para computador, configurou incorretamente as pastas web que armazenam dados de RMA, resultando na indexação dessas por motores de busca.

Isso é geralmente resultado de permissões inadequadas que restringem o acesso apenas a usuários autorizados, ou seja, aos funcionários da Zotac, e a falta de tags ou um arquivo 'robots.txt' que instruiria os crawlers a excluir as pastas sensíveis.

Como resultado, consultas no Google Search contendo nomes de pessoas ou empresas junto ao parâmetro do site 'zotacusa.com' revelaram informações pessoais como faturas, endereços, detalhes de solicitações e informações de contato.

O lapso, que afeta um número desconhecido de clientes Zotac, foi descoberto por um espectador do canal de tecnologia GamersNexus no YouTube.

O canal noticiou o vazamento na semana passada no X sem nomear o fabricante de hardware.

Enquanto isso, GamersNexus informou alguns dos maiores parceiros da Zotac para aumentar a conscientização sobre a exposição de dados sensíveis, e os esforços de remediação estão em andamento.

O canal do YouTube revelou que o culpado era a Zotac USA através de um vídeo publicado ontem, após receber uma resposta da empresa.

A maioria dos dados agora foi protegida, embora eles ainda apareçam no Google Search.

Dito isso, a maioria dos documentos privados não está mais acessível publicamente.

GamersNexus eventualmente entrou em contato com um porta-voz da Zotac, que lhes disse que desativaram o botão de upload de documentos em seu portal RMA e agora pedem aos clientes para enviarem os arquivos acompanhando suas solicitações por email.

Se você utilizou o serviço de RMA da Zotac em algum momento, deve considerar suas informações pessoais expostas e tomar as precauções necessárias para mitigar o risco.

Como a duração da exposição é atualmente desconhecida, não há datas "seguras" de RMA.

Publicidade

Cuidado com o deauth, a tropa do SYWP vai te pegar

A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo. Saiba mais...