Cybernews ha rivelato che il 25 marzo, il loro team di ricerca ha scoperto una fuga di dati e ha immediatamente informato l’azienda. Nonostante i dati fossero visibili sui motori di ricerca dal 24 aprile, i ticket di supporto trapelati coprono un periodo quasi decennale, da giugno 2014 a maggio 2023, evidenziando l’estensione del problema. Inoltre, i ricercatori di Cybernews hanno rinvenuto una richiesta di riscatto sui sistemi di Peak Design, suggerendo che gli autori della minaccia hanno probabilmente avuto accesso ai sistemi almeno una volta.
Il CEO di Peak Design, Peter Dering, ha confermato l’accaduto in una dichiarazione a Petapixel: “Siamo determinati a proteggere la privacy dei nostri clienti. Di recente abbiamo identificato e risolto una compromissione dei dati che riguardava i ticket storici del nostro servizio clienti.”
I dati esposti includono ticket di assistenza risalenti tra ottobre 2013 e maggio dell’anno scorso. Fortunatamente, i dati trapelati non contengono informazioni relative a carte di credito, dati bancari o numeri di previdenza sociale, ma includono nomi dei clienti, indirizzi email, indirizzi fisici di spedizione e dettagli degli ordini, oltre ai registri delle interazioni con i clienti.
Dering ha riconosciuto che, sebbene l’assenza di password e dati bancari sia un aspetto positivo, รจ anche consapevole che tali informazioni sono comunque di valore per gli hacker. Questi dati possono infatti essere utilizzati per attivitร di ingegneria sociale, spam e altri attacchi informatici. Nonostante le informazioni non siano preziose come i dati finanziari, per i criminali online rappresentano comunque una risorsa utile.
Peak Design ha dichiarato di non essere a conoscenza di eventuali abusi dei dati trapelati fino a ora, ma questo tipo di perdite puรฒ richiedere tempo per manifestarsi compiutamente nelle profonditร di Internet.
La perdita di dati di Peak Design
Peak Design ha informato i propri clienti, invitandoli a restare vigili: “Se ricevete comunicazioni sospette che sembrano provenire da noi o che riguardano Peak Design, vi preghiamo di contattarci all’indirizzo security@peakdesign.com. Se siete preoccupati per il furto di identitร e desiderate ulteriori informazioni su come proteggervi, vi consigliamo di visitare il sito web della Federal Trade Commission dedicato al furto di identitร .”
La recente esposizione dei dati รจ stata il risultato di un errore di configurazione su un server Elasticsearch, utilizzato comunemente come motore di ricerca open source per l’analisi di vasti quantitativi di dati su siti web o sistemi interni. Questi server non dovrebbero mai essere accessibili pubblicamente senza adeguate misure di sicurezza, come minimo una password.
Attacco hacker a Peak Design?
Nel caso di Peak Design, il problema รจ sorto durante il passaggio a una nuova piattaforma di assistenza clienti. Durante questo processo, l’azienda ha implementato un motore di ricerca interno per agevolare gli agenti nel reperire i dati dei clienti. Tuttavia, l’11 marzo 2024, un server privato contenente queste informazioni รจ diventato inaspettatamente accessibile al pubblico senza alcuna protezione mediante password.
Non appena il problema รจ stato rilevato, il team di ingegneri di Peak Design ha prontamente risolto la vulnerabilitร . Tuttavia, Peter Dering, il CEO, ha ammesso che una “terza parte non autorizzata” potrebbe aver avuto accesso ai dati il 1 aprile, anche se ha precisato che l’azienda non ha finora rilevato segni di un’eventuale redistribuzione delle informazioni.
Questo resta una supposizione e solo il tempo potrร confermare se effettivamente gli hacker abbiano potuto accedere ai dati.
I dati compromessi riguardano i clienti che hanno interagito con il dipartimento di assistenza clienti di Peak Design, aprendo un ticket tra ottobre 2013 e maggio 2023.
Va notato che non tutti i clienti che hanno effettuato acquisti su PeakDesign.com sono stati coinvolti. I dati dei clienti che non hanno mai aperto un ticket di assistenza clienti sono rimasti sicuri.
Si raccomanda di prestare attenzione a qualsiasi messaggio o email che menzioni Peak Design o che richieda informazioni personali, indipendentemente dalla fonte.
