Bilgisayar donanım üreticisi Zotac, iade mal yetkilendirme (RMA) taleplerini ve ilgili belgeleri belirsiz bir süre boyunca çevrimiçi olarak ifşa ederek hassas müşteri bilgilerini açığa çıkardı.
Kompakt ve mini bilgisayarlar, yüksek performanslı grafik kartları, anakartlar ve bilgisayar aksesuarları yelpazesiyle tanınan Zotac, RMA verilerini tutan web klasörlerini yanlış yapılandırdı ve bu durum bunların arama motorları tarafından indekslenmesine neden oldu.
Bu durum genellikle erişimi yalnızca yetkili kullanıcılarla (yani Zotac çalışanlarıyla) sınırlayan yetersiz izinlerin ve tarayıcılara hassas klasörleri hariç tutmalarını söyleyecek etiketlerin veya ‘robots.txt’ dosyasının eksikliğinin sonucudur.
Bunun sonucunda, ‘zotacusa.com’ site parametresiyle birlikte kişi veya şirket adlarını içeren Google Arama sorguları, faturalar, adresler, talep detayları ve iletişim bilgileri gibi kişisel bilgileri ortaya çıkardı.
Bilinmeyen sayıda Zotac müşterisini etkileyen bu aksaklık, YouTube teknoloji kanalı GamersNexus’un bir izleyicisi tarafından keşfedildi. Kanal, donanım satıcısının adını vermeden sızıntıyı geçen hafta sonu X’te bildirdi.
Bu arada GamersNexus, hassas verilerin ifşası konusunda farkındalık yaratmak için Zotac’ın en büyük ortaklarından bazılarını bilgilendirdi ve düzeltme çalışmaları devam ediyor.
YouTube kanalı, firmadan gelen yanıtın ardından dün yayınladığı bir videoyla suçlunun Zotac USA olduğunu açıkladı.
Verilerin çoğu artık güvence altına alındı, ancak bunlar hala Google Arama’da görünüyor. Bununla birlikte, özel belgelerin çoğu artık herkese açık değil.
GamersNexus sonunda Zotac’tan bir sözcüye ulaştı ve sözcü onlara RMA portalındaki belge yükleme butonunu devre dışı bıraktıklarını ve artık müşterilerinden taleplerine eşlik eden dosyaları e-postayla göndermelerini istediklerini söyledi.
Zotac’ın RMA hizmetini herhangi bir noktada kullandıysanız, kişisel bilgilerinizin ifşa edildiğini düşünmeli ve riski azaltmak için gereken önlemleri almalısınız. Maruziyetin süresi şu anda bilinmediğinden, “güvenli” RMA tarihleri yoktur.
BleepingComputer, veri ifşası hakkında daha fazla bilgi edinmek için Zotac ile iletişime geçti ancak henüz bir açıklama yapılmadı.