Gamers Nexus: persoonsgegevens Zotac-klanten waren openbaar te vinden op Google

Alle bestanden die klanten van Zotac via de website van de fabrikant uploadden, waren openbaar toegankelijk via Google. Dat ontdekte het YouTube-kanaal Gamers Nexus. Het gaat onder meer om rma-aanvragen, waarin persoonsinformatie van klanten te vinden is.

Zotac sloeg de bestanden die naar zijn site werden geüpload op in de publieke webservers van Google, waardoor ze met een zoekopdracht te vinden waren, aldus Gamers Nexus. Met een zoekopdracht als 'site:zotacusa.com rma' was het volgens het YouTube-kanaal mogelijk om de retouraanvragen van klanten te downloaden en in te zien. In deze bestanden staan onder meer e-mailadressen, telefoonnummers en woonadressen, die hierdoor openbaar toegankelijk waren. Ook de betaalmethode en laatste paar cijfers van creditcards zijn te zien in sommige van deze aanvragen.

Naast rma-aanvragen werden er op deze manier nog verschillende andere documenten gevonden. Zo werden ook facturen van zakelijke klanten op deze manier opgeslagen. Ook vond Gamers Nexus naar eigen zeggen klantenservicechatlogs, screenshots van Amazon-bestellingen en elektrische schema's van PC Partner, het moederbedrijf van Zotac. Het YouTube-kanaal verwacht dat elk bestand dat klanten via de uploadknop op Zotacs website naar de fabrikant stuurden, openbaar werd opgeslagen.

Gamers Nexus heeft Zotac van het probleem op de hoogte gesteld. Kort daarna dichtte het bedrijf het lek. Hoewel de links wel nog te vinden zijn op Google, leiden ze nu naar een foutmelding. De hardwarefabrikant heeft de uploadknop ook tijdelijk van zijn website gehaald, totdat er een permanente oplossing is gevonden.

Door Kevin Krikhaar

Redacteur

07-07-2024 • 10:02

17

Submitter: Saresh

Reacties (17)

Sorteer op:

Weergave:

Iets dat wel opvallend is: zelfs na herhaaldelijke pogingen van GN om Zotac op te hoogte te brengen van het probleem hebben ze pas echt actie ondernomen nadat GN commerciële partners van Zotac heeft op de hoogte gebracht van het probleem zodat die zelf druk konden uitoefenen op Zotac. Dit lijkt me wel een vaker voorkomend probleem in de IT-sector...
Volgens mij is het niet zozeer IT-specifiek, maar eerder de huidige tijdgeest. Ik heb de afgelopen maanden bij een drietal totaal verschillende bedrijven/organisaties in het oog springende missers in hun dienstverlening aangekaart, en iedere keer was de reactie zo ongeveer dit:
"Dat kan je wel zeggen, klant, maar wij vinden dat we het beter weten en zeggen dat het aan jou ligt"
Dit is dagelijks binnen mijn organisatie. Bijv. een document management systeem oplossing zoeken voor contracten zonder uit te vogelen welk probleem opgelost moet worden en stug vol blijven houden dat een CRM systeem niet nodig is.

NIS2: geen actie ondernemen tot de grootste klant vragen heeft m.b.t. NIS2 en vervolgens verwachten dat het binnen een maand geregeld is.

In dienst gekomen en aangegeven dat een bepaalds “IT”-er er uit moet, werd niet naar geluisterd “want hij werkt er al 10 jaar”, die subsidiary is gehackt door nalatigheid van IT, IT-er blijft zitten (beschermd), dan de persoon maar continu motiveren een andere baan te zoeken. Nu is die weg en zit er een goede en de feedback: oh IT functioneert nu veel beter (doh).

Maar goed, waarom werk je er dan? IT was altijd gezien de afdeling die laptops installeert. Dus voor mij nu een leuke uitdaging om alle IT op orde te krijgen.
Duurt alleen even voor ze door hebben hoe belangrijk IT tegenwoordig is. Binnen onze organisatie is C-level het grootste probleem, mist gewoon de kennis en kunde. Zijn van onder naar boven gegroeid zonder verdere opleiding. Je ziet ze dus voor namelijk met operationele zaken bezig zijn en micro management. Dat komt IT security nooit ten goede.
Nu is die weg en zit er een goede en de feedback: oh IT functioneert nu veel beter (doh).
Dat heb ik ook meegemaakt. Een software ontwikkelaar die vaak riep dat de kwaliteit achteruit ging, niet wist hoe hij met git moest werken waardoor er stukken van zijn code verdwenen. Dit had een uitermate slechte effect op het project.

Ik heb het vaak indirect proberen te melden, maar management wou het maar niet begrijpen omdat hij "dynamisch" was.

Van zodra hij weg was, was de kwaliteit opeens gestegen. De software was stabiel en features worden nu sneller afgewerkt. Volgens management dankzij mijn persoonlijke groei :+ , tjah ik neem dat mee naar de volgende loonsonderhandelingen 8-)

[Reactie gewijzigd door Mayonaise op 22 juli 2024 14:19]

Duurt alleen even voor ze door hebben hoe belangrijk IT tegenwoordig is. Binnen onze organisatie is C-level het grootste probleem, mist gewoon de kennis en kunde. Zijn van onder naar boven gegroeid zonder verdere opleiding. Je ziet ze dus voor namelijk met operationele zaken bezig zijn en micro management. Dat komt IT security nooit ten goede.
Het omgekeerde is ook vaak het geval: C-level management dat van een business-opleiding komt en nul kennis heeft van het bedrijf buiten de spreadsheets. IT is een kostenpost, dus alle investeringen die geen direct zichtbaar resultaat geven zijn verboden.
Zat toevallig gisteren deze video te kijken. Beetje vergelijkbare strekking. De klant oplichten en daarna 'ghosten' tot ze aangeven bekend te zijn op Youtube. Waarna alles magisch wordt opgelost en het allemaal een misverstand was...

Dit soort dingen zijn niks nieuws, alleen in de tijd dat letterlijk iedereen dingen globaal kan delen via o.a. social media leren dit soort bedrijven ook niet echt. Ik heb ook een tijd in een IT-winkel gewerkt dus weet ook dat er zat mensen zijn die proberen de boel op te lichten. Dus daar moet je scherp op blijven. Alleen dit soort zaken zijn puur opgezet om zo weinig mogelijk geld kwijt te zijn aan klanten na de verkoop in de vorm van RMA. Iets wat wettelijk gewoon geborgd is.
Zoals ik de uitleg van hun lees wist een van de kijkers van het youtubekanaal er eerder vanaf en zijn ze vrijdag pogingen gaan doen. Maar de fabrikant zit in Hong Kong, dus als je dan vanuit de VS contact gaat opnemen is het in HK waarschijnlijk al weekend. En ik lees niet dat de fabrikant 24/7 bereikbaar is voor dit soort problemen. Dan kom je er al snel op uit dat meerdere pogingen niet helpen en je bij grote leveranciers, die wel 24/7 hiervoor bereikbaar zijn, wel succes hebt.
Ik veronderstel dat GN met het in de tegenaanval gaan op fabrikanten wel genoeg legal support heeft om pas te publishen als aan alle wettelijke verplichtingen is voldaan.

Dit is anders dan de "trust me bro" garantie die LTT gaf (en uiteindelijk tot een deftige CEO geleid heeft) waarbij er geen gevaar voor het bedrijf en de klanten was en zelfs niet met de Asus "currently we are offering a full analysis and send the customer a list of available repairs, free and paid", waar ze "currently" gebruikten als in "as of today" en klanten met een "possibly disassembled device" werden opgezadeld als ze een repair weigerden.
Niet alleen in de IT-sector.

Kende jaren geleden nog iemand die in het middle-management in call-centres werkte, en me vertelde dat het geregeld voorkwam dat werknemers qua efficientie gescoord werden op o.a. hoeveel terechte klachten ze alsnog afgeschipperd hadden en als je dan als operator 2 review termijnen achter elkaar op dat vlak te laag scoorde, kreeg je de bons.

Dat ging over uiteenlopende producten van witgoed elektronica tot dienstverlening.
zelfs na herhaaldelijke pogingen van GN om Zotac op te hoogte te brengen
Is er bewijs dat Steve dit gedaan heeft? Hij staat er een beetje om bekend om gelijk alles op YT te dumpen voor views.
Er is letterlijk niet 1 hardware fabrikant die nog met hem praat over zaken vanwege zijn handelingen.
Wel weer tekenend dat iemand enige tijd geleden zichzelf heeft gevonden op deze omvangrijke datalek, dit heeft gemeld en dan was de "oplossing" om enkel zijn/haar bestand te verbergen zonder het daadwerkelijke probleem aan te pakken. Pas als de leveranciers/afnemers aankloppen bij het bedrijf of het komt in de media, dan wordt het binnen een paar uur verholpen.

Je kan nooit alles voorkomen, zeker omdat zaken als directory browsing soms letterlijk 1 teken is in je config betreft. Dus roepen dat dit nooit had mogen gebeuren is erg simpel. Echter als je bent gewaarschuwd en er verder niks mee doet valt dit wat mij betreft onder de categorie grove nalatigheid.

Na ASUS met hun RMA 'spektakel' is dit voor mij in ieder geval het 2e tech merk wat op de blacklist is gekomen omdat ze lak hebben aan hun klanten.
Dan kun je élk tech merk blacklisten, want ze hebben allemaal lak aan hun klanten. Het gaat alleen om winst, winst en meer winst.
Hierom mis ik deels EVGA ook zo enorm. Hopelijk kan Kingpin er wat van maken bij PNY.
En (te laat reageren op) een datalek is goed voor de winst?

Het is nog steeds in hun voordeel om de boel goed te regelen.
in het algemeen zijn bedrijven laks in afhandelen van klachten of zaken die niet op orde zijn, zijnde dit door bureaucratie dan wel desinteresse in het algemeen. Alles kost geld, veel bedrijven maken toch de berekening wat goedkoper is (lees Ford hun welbekende issue op gebied van veiligheid).

Belangrijkste: negatieve reclame is ook reclame.
In de comments op de communitypost van GN voorafgaand aan de video (http://youtube.com/post/U...LALEy?si=ZUIF4FMdKhZm5MBy) meldde een ander het volgende:

"Edit final: oh god I found something else and that's terrifying. (My comments here not related to the post I have found out) Edit 3: all files ~20k can be exported with a single click. Edit 2: I found the breach. Archive.org has respected the no cache header and I am not publicly disclosing at this time. Edit: Archive.org may have cached all this so closing the access is not the only issue. It's good to practice responsible disclosure, however now that this is public, someone will find out who it is (quickly) and oust them publicly. I hope you have contacted the proper channels at the legal levels for the impending backlash that the company may attempt to target at you. Be safe out there."

Reactie GN:
"OP edited the post, but to build on it: OP found a totally unrelated issue with a different company. Concerning for new reasons! Maybe more for us to look into."

Er kan dus nog meer volgen.

[Reactie gewijzigd door Megasyb op 22 juli 2024 14:19]

Back to you Steve! :+

Op dit item kan niet meer gereageerd worden.