كشفت شركة Zotac المصنعة للأجهزة الكمبيوترية عن طلبات ترخيص إرجاع البضائع (RMA) والمستندات ذات الصلة عبر الإنترنت لفترة غير معروفة، مما أدى إلى الكشف عن معلومات حساسة للعملاء.
قامت شركة Zotac، المعروفة بمجموعتها من أجهزة الكمبيوتر الصغيرة والمدمجة، وبطاقات الرسوميات عالية الأداء، واللوحات الأم، وملحقات الكمبيوتر، بتكوين مجلدات الويب التي تحتوي على بيانات RMA بشكل خاطئ، مما أدى إلى فهرستها بواسطة محركات البحث.
عادةً ما يكون هذا نتيجة لعدم وجود أذونات كافية تقيد الوصول للمستخدمين المصرح لهم فقط، أي موظفي Zotac، وعدم وجود علامات أو ملف “robots.txt” الذي من شأنه أن يوجه أدوات الزحف لاستبعاد المجلدات الحساسة.
ونتيجة لذلك، كشفت استعلامات بحث Google التي تحتوي على أسماء الأشخاص أو الشركات بالإضافة إلى معلمة الموقع “zotacusa.com” عن معلومات شخصية مثل الفواتير والعناوين وتفاصيل الطلب ومعلومات الاتصال.
المصدر: BleepingComputer
تم اكتشاف الثغرة التي تؤثر على عدد غير معروف من عملاء Zotac بواسطة أحد مشاهدي قناة GamersNexus التقنية على YouTube. أبلغت القناة عن التسريب في أواخر الأسبوع الماضي على X دون تسمية بائع الأجهزة.
وفي الوقت نفسه، أبلغت GamersNexus بعضًا من أكبر شركاء Zotac بضرورة رفع مستوى الوعي بشأن تعرض البيانات الحساسة، كما أن جهود الإصلاح جارية حاليًا.
كشفت قناة اليوتيوب أن الجاني هو Zotac USA عبر فيديو تم نشره أمس بعد تلقي رد من الشركة.
تم تأمين معظم البيانات الآن، على الرغم من أنها لا تزال تظهر في بحث Google. ومع ذلك، لم تعد معظم المستندات الخاصة متاحة للعامة.
وفي النهاية، تمكن موقع GamersNexus من الوصول إلى متحدث باسم شركة Zotac، الذي أخبرهم أنهم قاموا بتعطيل زر تحميل المستندات على بوابة RMA الخاصة بهم، ويطلبون الآن من العملاء إرسال الملفات المرفقة بطلباتهم عبر البريد الإلكتروني.
إذا كنت قد استخدمت خدمة RMA من Zotac في أي وقت، فيجب عليك اعتبار معلوماتك الشخصية معرضة للخطر واتخاذ الاحتياطات اللازمة للتخفيف من المخاطر. نظرًا لأن مدة التعرض غير معروفة حاليًا، فلا توجد تواريخ RMA “آمنة”.
اتصلت BleepingComputer بشركة Zotac لمعرفة المزيد عن تعرض البيانات، لكن لم يتوفر بيان على الفور.