Razer had database met gegevens 100.000 klanten open staan - update

Razer, vooral bekend als fabrikant van gameproducten, had een verkeerd geconfigureerde database online staan waardoor klantgegevens openbaar stonden. De ontdekker van het datalek schat dat het om gegevens van zo'n honderdduizend klanten ging.

De openbaar toegankelijke informatie betrof naam, e-mailadres, telefoonnummer, klantnummer, bestelnummer, factuurgegevens en leveringsadres. Dat meldt beveiligingsonderzoeker Volodymyr 'Bob' Diachenko. Volgens hem had Razer een Elasticsearch-database niet goed geconfigureerd waardoor de gegevens openbaar waren en door zoekmachines werden geïndexeerd. De database zou sinds 18 augustus toegankelijk zijn geweest zonder dat een wachtwoord vereist was om de data in te zien.

Diachenko nam een dag na deze ontdekking contact op met Razer. Zijn melding kreeg een supportticket, maar bleek niet de juiste mensen bereikt te hebben, zodat het drie weken duurde voordat de publieke toegang ongedaan gemaakt werd. De onderzoeker maakt geen melding van het uitlekken van wachtwoorden of creditcardgegevens, maar hij benadrukt dat de uitgelekte data gebruikt kan worden voor fraude. Niet bekend is of de data door anderen dan Diachenko bekeken is. Razer zelf lijkt nog niet publiekelijk gereageerd te hebben op het datalek. Tweakers heeft navraag bij het bedrijf gedaan.

Update, 13.15: In een verklaring aan Tweakers bevestigt Razer de melding van de openstaande database ontvangen te hebben: "Er zijn geen gevoelige gegevens zoals creditcardnummers of wachtwoorden uitgelekt. De verkeerde configuratie is op 9 september verholpen." Het bedrijf biedt klanten zijn verontschuldigingen aan en meldt de beveiliging van zijn it-systemen grondig door te lichten.

Razer Elasticsearch datalek

Door Olaf van Miltenburg

Nieuwscoördinator

11-09-2020 • 12:53

54

Reacties (54)

Sorteer op:

Weergave:

En opnieuw een ElasticSearch cluster die niet goed beveiligd is. Op zich is het goed dat de security package gratis geworden is en het is uiteraard volledig de fout van Razer zelf dat ze dit niet goed afgeschermd hadden van de buitenwereld. Maar anderzijds zou men bij Elastic toch ook een betere standaard beveiliging moeten kunnen voorzien om zulke zaken te voorkomen.

Een standaard gebruikersnaam+wachtwoord gaat hier uiteraard niet veel verbeteren, maar ik zou ergens verwachten dat je bij binnenkomende berichten op basis van het IP-adres zou kunnen afleiden dat een bericht van buiten je intern netwerk komt. Als men zo'n requesten standaard weigert (configureerbaar, uiteraard) zou er al veel schade voorkomen worden.
Sowieso kan dit in je edge firewall volgens mij veel beter / sneller. Foutje vanuit Razer dus.
Wat dacht je van beide. Tegenwoordig zien we het interne netwerk ook niet meer als veilig, dus wil je op diverse vlakken beveiliging aanbrengen, zowel op je edge als de software en/of machine zelf.
Een standaard gebruikersnaam en wachtwoord zou wel hebben voorkomen dat de hele database geïndexeerd kon worden door zoekmachines.
De gegevens in de databank zullen volgens mij niet geïndexeerd geweest zijn. Zoekmachines volgen hoofdzakelijk URLs, wat de REST API niet aanbiedt. Of het moet al zijn dat ze herkennen dat het een ElasticSearch database is en de data dan gaan opvragen.

Wat wel geïndexeerd werd volgens mij (en ook bij gebruikersnaam+wachtwoord nog geïndexeerd zou blijven) is de entrypoint URL. Als de meeste clusters gewoon een standaard login hebben ga je lekken niet gaan voorkomen, maar gewoon een zeer laag hekje plaatsen. Sommige mensen zullen er over vallen, maar de meesten stappen daar gewoon over.
Amazon Web Services is heel flexibel configureerbaar, met interne netwerken en nodes. Het is een goede praktijk om niet alleen te testen op functionaliteit, maar ook op gewenste (on)bereikbaarheid van servers vanaf het netwerk en daarbuiten. Ook zou je een security team moeten laten proberen het systeem te penetreren (pen-test) en dergelijke - in ieder geval op periodieke basis. Zo ben ik gewend te werken (verplicht door corporate security)

Verder ook fout van Razer om email adressen als niet-kritisch af te doen (valt wel degelijk onder PII in GDPR/AVG)
Fijn ook dat je met een email adres en alles moet inloggen zodat je je muis settings kan aanpassen.
Denk dat er vele zijn die hun standaard email adressen hiervoor gebruiken
helaas niet, Razer Synapse moet je inloggen.
Dit klopt niet. Heb zelf een Razer-muis en kan mijn instellingen gewoon aanpassen zonder account. Ik heb niet eens een Razer-account.
Je hebt een account nodig om settings te syncen, maar niet om in te stellen

[Reactie gewijzigd door ybysaia op 23 juli 2024 15:12]

Dat klopt deels wel, tenzij je zelf de .xml gaat aanpassen. En dat is niet echt gebruiksvriendelijk. Er een beperkter aantal settings beschikbaar in de Synapse software zonder login. Om maar nog te zwijgen over updates e.d.
quote: Razer
This includes features like configuring and saving macros, key binds, and preference settings. Razer Synapse 2.0 also maintains your devices in optimal condition by automatically updating and downloading driver and firmware updates

[Reactie gewijzigd door Yoshi op 23 juli 2024 15:12]

Zoals wat? Ik heb geen xml aangepast om mijn muis in te stellen. Kan functies aan knoppen toewijzen, rgb instellen, dpi instellen. Ik ben nog niet tegen beperkingen aangelopen mbt het instellen van mijn muis omdat ik geen account heb.

Edit: ik zie jouw edit. Ik gebruik zelf versie 3.0. Wellicht dat het daarbij niet meer hoeft.
Alle dingen genoemd in je edit kunnen zonder account in versie 3.0

[Reactie gewijzigd door ybysaia op 23 juli 2024 15:12]

Of het strikt noodzakelijk is of niet, doet eigenlijk weinig ter zake: als de doorsnee gebruiker de indruk heeft dat het nodig is, dan zal hij dat als nodig beschouwen. Kennelijk had @Derr_Hans die indruk.

Zelf geen Razer spullen, maar als ik kijk naar hoe zo'n beetje elk merk je tegenwoordig tot het creëren van een account probeert te verleiden, verbaast het me niets. En dan hoort zo'n bedrijf inderdaad ook zorgvuldig met die gegevens om te gaan..
Het was ooit nodig, zoals Whetstone hier iets onder ook melde.
Persoon heb ik dus gemist dat het sinds Mei 2019 niet meer nodig was.

Geen idee waarom ik dat gemist heb, maar ja ik was inderdaad nog in de onderstelling dat het nog steeds nodig was.
Dit geld voor het merendeel van de bedrijven die dit deden. Dat is een van de positieve gevolgen van de AVG wetgeving die is ingevoerd.

Ze moeten kunnen hardmaken dat die gegevens noodzakelijk zijn voor het functioneren om verplichte login te kunnen verantwoorden.
Ik zal wel de enige zijn die het nu wel handig vind. Ik keek er ook beetje met een scheef oog naar dat (niet verplichte) inloggen, maar aangezien ik dezelfde muis gebruik als ik naar lanparties of me ouders ga en dan me laptop ipv me desktop gebruik, vind ik het toch wel handig dat ie meteen alle instellingen overneemt. Heb verder nooit last gehad van dat er een account aan hangt. Je merkt het eigenlijk niet en je krijgt ook geen reclames ofzo. Totdat je data uit lekt natuurlijk, ;) maar er hangen bij mij geen adres gegevens aan en ook natuurlijk een uniek wachtwoord al zal ik die wel door dit weer veranderen.
Inloggen "handig"?!?
Het is al sinds de Logitech G7 en de Razer Copperhead in 2005 de norm om een cheapo on-board chipje te plaatsen. Dan hoef je die software op je LAN-party niet eens te installeren noch internet te hebben.

Razer gebruikt dit nu imo als selling point / decoy pricing zodat je een duurdere muis koopt.
Want als je bijv. naar Logitech kijkt, dan heeft zelfs de allergoedkoopste gaming muis het.

I.p.v. dat Razer je iets nuttigs geeft bij duurdere modellen, kleden ze kennelijk bij goedkopere modellen de reeds bestaande technologie uit net zolang totdat het pijn doet. Dat is m.i. net als met van die appjes die je net zo lang gaan pesten totdat je koopt om het te laten stoppen, i.p.v. dat ze je iets extra geven als je koopt.

Ik hoop dat dit datalek mensen een beetje wakker schudt.
Maak Synapse offline!
En geef ons ons on-board memory terug.
Dat is inderdaad correct! Inloggen is niet nodig, je hebt altijd lokaal toegang als guest zonder synchronisatie.
En de config kan je manueel exporteren waardoor online synchronisatie grotendeels overbodig wordt.
EDIT; kon toch wel dus account verwijderd en nu gast xD

[Reactie gewijzigd door Verwijderd op 23 juli 2024 15:12]

Helaas niet, settings van je Razer hardware kun je alleen met hun software aanpassen.

En die software werkt alleen met een account, die je dus moet aanmaken met je email.

blijkbaar viel die gast knop mij nooit op, maar aangezien ik geen Razer hardware meer heb kan ik dat ook niet nakijken

Volgens mij was Linux een uitzondering op die regel.

[Reactie gewijzigd door Mizgala28 op 23 juli 2024 15:12]

Je kunt ook als gast gebruiker verder gaan, heb je geen account nodig.
Een account gebruik je als je je settings wilt syncen met hun systemen, zodat je deze weer kan oproepen op een nieuwe/andere PC ooit. Vind ik niet nodig, maar ik snap wel dat dit handig kan zijn.
Dat kan nu maar 2 jaar geleden niet. En ik heb heel lang geleden ooit eens een muis van ze gekocht, maar nooit meer, want zonder hun spyware te installeren ( lees maar eens hun user agreements ) kon je alleen basis Windows instellingen doen. Zij staan voor altijd op de zwarte lijst bij mij.
Helaas niet, settings van je Razer hardware kun je alleen met hun software aanpassen.
Nee hoor. In Linux kun je via je /sys/ filesystem een aantal settings aanpassen. Verschilt per device van Razer, dat wel
Daarom zei ik ook dat Linux volgens mij een uitzondering op die regel was.
Begrijp niet waarom je wordt gedownmod, want tot mei 2019 waren gebruikers van Razer randapparatuur verplicht om een account aan te maken, als ze tenminste de Razer Synapse software wilden gebruiken om hun apparatuur te configureren. Toen dat in 2012 werd ingevoerd was er de nodige ophef over ("waarom moet ik een actieve internetverbinding hebben om mijn muis te gebruiken?").

De Razer marketingmachine is blijkbaar effectief, of mensen hebben een heel kort geheugen, maar deze (voor gebruikers) zinloze verplichting maakt dit nieuws over een openstaande database wel extra zuur. Je comment is wat mij betreft in elk geval zeer to the point, @Derr_Hans. Hooguit had je kunnen toevoegen dat er sinds mei vorig jaar dus een gastaccount optie is, maar soit.
Ik heb dus zo'n account gemaakt voor mijn gekregen koptelefoon.

Sindsdien nooit meer Razer. Daarom weet ik iig niet van de gastoptie :)

Maar dan nog geen Razer meer.
Ik heb zelf geen razer producten, maar is dit daadwerkelijk hoe het gaat bij hen? Goed om te weten, voor mij geen razer in dat geval.
Fijn ook dat je met een email adres en alles moet inloggen zodat je je muis settings kan aanpassen.
Je zou je bijna afvragen waarom dat soort onzin in Linux er niet in zit...

[Reactie gewijzigd door The Zep Man op 23 juli 2024 15:12]

Omdat dat geen officiële tool is.
Omdat dat geen officiële tool is.
Een tool van een derde partij zou ook kunnen eisen dat je moet inloggen met een account bij die derde partij. Waarom zou dat niet nodig zijn?

Het antwoord zal ik verklappen:
Omdat het onzinnig is om een account te vereisen voor iets waarvoor functioneel geen online account nodig is.

[Reactie gewijzigd door The Zep Man op 23 juli 2024 15:12]

Omdat de functionaliteit tot aanpassen al mogelijk is zonder koppeling met een account, je hebt puur een link nodig tussen de hardware. Ik praat ook verder niet het vereiste account goed van Razer (sterker nog, dit heeft me vaker tegengehouden om een product van ze te kopen), ik geef puur een antwoord op het waarom. De reden waarom Linux het niet vereist is omdat het een passieproject is en dus puur de functionaliteit wil bieden om hardware settings aan te passen binnen Linux en niet alleen Windows. Ze winnen er niks bij om dan ook account logins te gaan implementeren, dat zal puur extra moeite zijn zonder toegevoegde waarde.

[Reactie gewijzigd door stuiterveer op 23 juli 2024 15:12]

[...]
Je zou je bijna afvragen waarom dat soort onzin in Linux er niet in zit...
nou...
This project is licensed under the GPLv2 and is not a project by Razer Inc.
Daarom! Razer heeft enkel software voor Windows. Mocht Razer ooit zelf iets uitbrengen op Linux dan ga er maar vanuit dat het ook daar gewoon in zal zitten...
Als dit serieus is zou ik werkelijk nooit meer iets aanschaffen van dat bedrijf. Compleet achterlijk dit. Maarja, hoe kom je anders aan gegevens van je gebruikers. Ik kwam laatst ook zoiets tegen. Nadat ik contact had opgenomen kwamen ze met een bullsh!t verhaal: "dit hebben wij nodig voor de binding met onze klant", "we willen onze klanten graag benaderen ... bla bla ... voor een betere relatie en ervaring ... bla bla". En dat wil ik niet.
Geen gevoelige gegevens? Je complete adres, telefoonnummer... Nee prima joh. 8)7
Vroeger kreeg je van de PTT een heel dik boek met de naam, het adres en telefoonnummer van 99% van alle mensen in je stad! Niemand zag dat als enig probleem.
Je persoonlijke gegevens hoefde echter niet in het telefoonboek te staan om je muis te kunnen gebruiken :)
Gezien Razer registratie eist voor je de software kan gebruiken, bijna wel eigenlijk...
Daarna kwam die database online te staan en kon je ook reverse zoeken.
Dat was wel een groot probleem.
En toen werd die database gekopieerd en door kwaadwilligen uitgevent.
Een nog groter probleem.
Trollen vinden er adressen van personen en sturen daar bedreigingen naar toe.
Vroeger was niet alles aan het internet gekoppeld waardoor identiteitsfraude etc minder voorkwam.
Het is volkomen irrelevant of persoonsgegevens vroeger minder als gevoelig werden gezien. Nog los van het feit dat je vroeger een verborgen 'geheim' nummer en registratie kon nemen. Er is al vele jaren in diverse westerse landen wetgeving om persoonsgegevens te beschermen. In 2020 als bedrijf dan nog aankomen met een verklaring dat er geen gevoelige gegevens zijn gelekt is op zijn minst slecht verwoord en laat eerder zien dat ze zijn blijven steken in een ongewenste houding over persoonsgegevens en gevoelig meer iets is wat om geld zou gaan.
Omdat iedereen hier makkelijk toegang tot had, en het dus bekend was.
Grappig, toevallig vanmorgen een oude Razer koptelefoon opengemaakt. Daar was een stuk lastiger in te komen dan in deze database.
Weer eentje voor HIBP. Gelukkig gebruikte ik een throwaway voor het verplichte (!!) account. Voor mij geen Razer meer. Zo'n goede kwaliteit is het ook niet.
Het irritante is dat je tegenwoordig overal maar je gegevens moet invullen. Je mag meteen een formuliertje invullen wanneer je de software installeert van je nieuwe muis. Ik had al heel erg mijn bedenkingen hierbij gezien software zeker niet razer hun sterkste kan is. En gegrond blijkt maar weer. Dit soort bedrijven moeten gewoon bij hun core business blijven. Het maken van hardware en vooral zichzelf niet gaan vereiken met data, want ze kunnen die verantwoordelijkheid helemaal niet aan!
Ik ben na 1 product wel klaar met Razer.

Een koptelefoon als cadeau gekregen, maar moet wel verplicht een account aanmaken of de bijbehorende software te kunnen gebruiken... Een koptelefoon! Waar hebben we het over?

Nooit meer iets van hun.
Sowieso bagger software. Mijn zoon had eens de "muis- en keyboarddrivers" op mijn laptop gezet om een game te kunnen spelen. Wat een invasieve troep is dat zeg.
Na het artikel hier over de Razer Pro Click meteen besteld via de Razer webshop. Denk dat ik hier wel tussen zit...
Klantenservice is ook ronduit slecht

Op dit item kan niet meer gereageerd worden.