Το άτομο που ισχυρίστηκε πως έκλεψε τις φυσικές διευθύνσεις 49 εκατομμυρίων πελατών της Dell φέρεται να απέκτησε επιπλέον δεδομένα μέσω μιας άλλης πύλης της Dell, σύμφωνα με το TechCrunch.
Πρόσφατα, παραβιάστηκαν δεδομένα πελατών της Dell, περιλαμβάνοντας ονόματα, τηλεφωνικούς αριθμούς και email διευθύνσεις. Αυτές οι πληροφορίες προέρχονται από “αναφορές εξυπηρέτησης πελατών”.
Δείτε επίσης: Η Firstmac Limited της Αυστραλίας προειδοποιεί για παραβίαση δεδομένων
Σύμφωνα με αναφορές που εξέτασε το TechCrunch, περιλαμβάνονται φωτογραφίες που φαίνεται πως τραβήχτηκαν από πελάτες και στη συνέχεια αναρτήθηκαν στην Dell αναζητώντας τεχνική υποστήριξη. Ενδιαφέρον παρουσιάζει το γεγονός ότι ορισμένες από αυτές τις φωτογραφίες περιέχουν μεταδεδομένα, τα οποία αποκαλύπτουν τις ακριβείς γεωγραφικές συντεταγμένες της τοποθεσίας όπου οι πελάτες τις τράβηξαν, όπως καταγράφηκε από ένα δείγμα δεδομένων που λήφθηκε από το TechCrunch.
Η TechCrunch επιβεβαίωσε ότι τα προσωπικά στοιχεία των πελατών φαίνονται γνήσια.
Αυτό σηματοδοτεί τη δεύτερη φορά σε λίγες εβδομάδες που έρχονται στο φως δεδομένα πελατών της Dell. Μόλις την προηγούμενη εβδομάδα, η Dell ενημέρωσε τους πελάτες για μια παραβίαση δεδομένων, ανακοινώνοντας μέσω email ότι ο τεχνολογικός κολοσσός διερευνά «ένα συμβάν που αφορά μια πύλη της Dell, η οποία περιλαμβάνει μια βάση δεδομένων με περιορισμένα είδη πληροφοριών πελατών σχετικών με αγορές από τη Dell».
Τα κλεμμένα δεδομένα περιείχαν τα ονόματα και τις διευθύνσεις των πελατών, καθώς και λιγότερο ευαίσθητες πληροφορίες, όπως “στοιχεία σχετικά με το hardware και τις παραγγελίες της Dell, συμπεριλαμβανομένης της ετικέτας υπηρεσίας, της περιγραφής προϊόντων, της ημερομηνίας παραγγελίας και των σχετικών πληροφοριών εγγύησης”.
Η Dell υποτίμησε την σοβαρότητα της παραβίασης ασφαλείας εκείνη την περίοδο, δηλώνοντας ότι η διαρροή πληροφοριών πελατών δεν αποτελούσε «μεγάλο κίνδυνο για τους πελάτες της» και πως οι πληροφορίες που εκλάπησαν δεν περιείχαν «πολύ ευαίσθητα στοιχεία των πελατών», όπως διευθύνσεις email και αριθμοί τηλεφώνου.
Ένας χρήστης με το ψευδώνυμο Menelik ανέλαβε την πλήρη ευθύνη για δύο περιπτώσεις παραβίασης δεδομένων. Μιλώντας σε συνέντευξη με το TechCrunch, ο Menelik παρείχε ένα δείγμα από τα κλεμμένα δεδομένα, επιτρέποντας στο TechCrunch να επιβεβαιώσει την αυθεντικότητά τους. Επιπλέον, ο Menelik διέθεσε αντίγραφα των email που είχε αποστείλει στην Dell, τα οποία η εταιρεία επιβεβαίωσε στο TechCrunch ως επικοινωνία σχετικά με την παραβίαση δεδομένων.
Πρόσφατα, ο Menelik ανακάλυψε ένα νέο ελάττωμα σε άλλη πύλη της Dell, το οποίο του παρείχε τη δυνατότητα να αποκτήσει πρόσβαση και να συγκεντρώσει μεγαλύτερο όγκο δεδομένων πελατών.
«Ανακάλυψα κάποια δεδομένα σχετικά με email και τηλεφωνικούς αριθμούς», αποκάλυψε ο Menelik στο TechCrunch. «Προς το παρόν, όμως, δεν σχεδιάζω να προχωρήσω σε κάποια ενέργεια με αυτά. Προτίθεμαι να περιμένω και να δω πώς θα αντιδράσει η Dell στο ζήτημα αυτό».
Η Dell δεν σχολίασε το αίτημα του TechCrunch.
Ο Menelik αποκάλυψε ότι διέκοψε την πρόσβαση σε δεδομένα περίπου 30.000 πελατών στις ΗΠΑ, επισημαίνοντας ότι εκμεταλλεύτηκε ελαττώματα παρόμοια με εκείνα που του επέτρεψαν προηγουμένως να αποκτήσει πρόσβαση σε 49 εκατομμύρια αρχεία πελατών. Ωστόσο, μια δεύτερη ευπάθεια περιόρισε την ταχύτητα συλλογής δεδομένων σε σύγκριση με την προηγούμενη παραβίαση.
Όπως αρχικά αποκάλυψε το TechCrunch, στην πρώτη περίπτωση διαρροής, ο Menelik αποκάλυψε ότι κατάφερε να διαγράψει τα δεδομένα πελατών της Dell μέσω μιας πλατφόρμας. Εκεί, παρουσιαζόταν ως «συνεργάτης», προσποιούμενος τον διαχειριστή εταιρειών που διαθέτουν προϊόντα ή υπηρεσίες της Dell σε τρίτους. Με την έγκριση των αιτημάτων του από τη Dell, ο Menelik αποκάλυψε ότι κατάφερε να εφαρμόσει αναγκαστικά ετικέτες εξυπηρέτησης πελατών, αποτελούμενες από μια σειρά επτά ψηφίων και συμφώνων.
Ο Menelik δημοσίευσε μια αγγελία σε γνωστό hacking φόρουμ, επιδιώκοντας την πώληση δεδομένων. Κατά τη διάρκεια συγγραφής αυτού του άρθρου, η αγγελία έχει αποσυρθεί, με τον Menelik να αποκαλύπτει ότι η αφαίρεση οφείλεται στην επιτυχημένη πώληση των δεδομένων, παρόλο που απέφυγε να αποκαλύψει το ποσό.
Διαβάστε περισσότερα: Ελσίνκι: Παραβίαση δεδομένων επηρεάζει χιλιάδες άτομα
Όταν ρωτήθηκε για τα σχέδιά του σχετικά με τα νέα δεδομένα, ο Menelik απάντησε ότι δεν έχει αποφασίσει ακόμη.
Λαμβάνοντας υπόψη ότι κάποια από τα κλεμμένα δεδομένα περιλαμβάνουν προσωπικές πληροφορίες πελατών από την Ευρωπαϊκή Ένωση, το TechCrunch ενημέρωσε την εθνική αρχή προστασίας δεδομένων της Ιρλανδίας, η οποία δεν έδωσε άμεση απάντηση στο αίτημα.
Πηγή: techcrunch
