Dữ liệu bị làm lộ bao gồm: tên, số điện thoại, địa chỉ email và địa chỉ giao hàng của khách hàng. Đây những thông tin cực kỳ nhạy cảm đáng lẽ phải được bảo vệ một cách chặt chẽ. Thời gian bị lộ những thông tin này vẫn chưa được xác định, làm dấy lên lo ngại về khả năng những thông tin này có thể bị tin tặc lợi dụng với mục đích xấu.
Sự cố này lần đầu tiên được phát hiện bởi trang web công nghệ Gamers Nexus. Một biên tập viên đã phát hiện ra vi phạm khi tìm kiếm tên của họ trên Google và thấy một biểu mẫu bán hàng đã được gửi trước đó cho ZOTAC, có thể dễ dàng truy cập và tải xuống.
Theo quy trình sau bán hàng của ZOTAC, khách hàng được yêu cầu điền thông tin xác thực của mình vào biểu mẫu và tải lên hệ thống dịch vụ của ZOTAC. Quy trình này vô tình trở thành nguồn rò rỉ dữ liệu ban đầu. Thông thường, các tệp như vậy phải được bảo vệ bằng các biện pháp kiểm soát truy cập nghiêm ngặt, đảm bảo chỉ các thành viên có quyền truy cập mới có thể được xem chúng. Tuy nhiên, do các chính sách bảo mật máy chủ của ZOTAC có những thiếu sót nên các tệp này vẫn có thể truy cập và tải xuống công khai.
Hậu quả của lỗ hổng bảo mật này không chỉ giới hạn ở các khách hàng cá nhân. Gamers Nexus cũng phát hiện ra biên lai từ các công ty khác, chẳng hạn như Micro Center và iBuyPower, trong số dữ liệu bị lộ. Các biên lai này chứa thông tin nhạy cảm và làm nổi bật tác động rộng hơn của việc giám sát bảo mật của ZOTAC.
Sau khi phát hiện ra vi phạm, Gamers Nexus đã nhanh chóng gửi báo cáo bảo mật đến ZOTAC và các công ty bị ảnh hưởng khác. Mặc dù Google vẫn lập chỉ mục một số tệp liên quan đến các dịch vụ của ZOTAC, nhưng quyền đã được sửa đổi để ngăn chặn truy cập trực tiếp.
Để ngăn chặn việc tiếp tục tiết lộ dữ liệu, ZOTAC đã sửa đổi quy trình dịch vụ của mình. Nút tải lên, trước đây yêu cầu khách hàng phải gửi biểu mẫu điện tử, đã bị xóa. Khách hàng hiện được hướng dẫn gửi các biểu mẫu này qua email, do đó giảm nguy cơ tiết lộ dữ liệu trên Internet.
ZOTAC vẫn chưa đưa ra tuyên bố chi tiết về sự cố bảo mật này. Tổng số tệp bị lộ vẫn chưa được xác định, nhưng xét đến tần suất bán hàng cao, có khả năng hàng chục nghìn tệp tin có thể đã gặp rủi ro.
Thanh Bình
(Theo securityonline)
14:00 | 08/07/2024
10:00 | 19/08/2024
14:00 | 02/07/2024
14:00 | 05/07/2024
10:00 | 28/06/2024
10:00 | 13/09/2024
Hãng Verkada (Mỹ) bị kiện và bị phạt sau khi dữ liệu từ 150.000 camera bị tin tặc truy cập, cho thấy hệ thống thiếu biện pháp bảo mật cơ bản.
10:00 | 23/07/2024
Chỉ sau một thời gian ngắn triển khai, ứng dụng Công dân Thủ đô số (iHanoi) đã nhanh chóng ghi nhận những thành tích ấn tượng, khẳng định là công cụ kết nối hữu hiệu giữa người dân và chính quyền Hà Nội. Người dân đánh giá cao iHanoi nhờ tính tiện dụng và hiệu quả xử lý.
07:00 | 21/06/2024
Bản vá lần này của VMware giải quyết các lỗ hổng nghiêm trọng ảnh hưởng đến vCenter, có thể dẫn tới tấn công leo thang đặc quyền và thực thi mã từ xa.
08:00 | 14/06/2024
Hội nghị các nhà phát triển toàn cầu (WWDC 2024) được tổ chức tại trụ sở Apple Park ở California, Mỹ vào 10h00 ngày 10/6 theo giờ địa phương (tức 0h00 ngày 11/6 theo giờ Việt Nam). Tại đây, Apple đã công bố tính năng "Apple Intelligence" mới và chiến lược AI tổng quát nhằm mang lại trải nghiệm cá nhân hóa mới trên các thiết bị Apple.
Gã khổng lồ công nghệ Google rót 1 tỷ USD vào Thái Lan, xây dựng trung tâm dữ liệu và mở rộng dịch vụ đám mây.
10:00 | 10/10/2024