El fabricante de computadoras Zotac reveló información de RMA del cliente en la Búsqueda de Google

Zotac

Zotac

El fabricante de hardware informático Zotac expuso en línea solicitudes de autorización de devolución de mercancía (RMA) y documentos asociados durante un período de tiempo desconocido, exponiendo información confidencial del cliente.

Zotac, conocida por su línea de PC compactas y mini, tarjetas gráficas de alto rendimiento, placas base y accesorios de computadora, configuró mal las carpetas web que contienen datos RMA, lo que provocó que los motores de búsqueda los indexaran.

Esto suele ser el resultado de permisos inadecuados que limitan el acceso sólo a usuarios autorizados, es decir, empleados de Zotac, y la ausencia de etiquetas o un archivo «robots.txt» que pediría a los robots que excluyan carpetas confidenciales.

Como resultado, las consultas de búsqueda de Google que contienen nombres de personas o empresas, así como el parámetro del sitio «zotacusa.com», revelaron información personal como facturas, direcciones, detalles de solicitudes e información de contacto.

Resultados de Google para Zotac RMA
Resultados de búsqueda de Google para Zotac RMA
Fuente: BleepingComputer

La falla, que afecta a un número desconocido de clientes de Zotac, fue descubierta por un usuario del canal tecnológico de YouTube GamersNexus. El canal informó la filtración a finales de la semana pasada en X sin nombrar al proveedor de hardware.

Pío

Mientras tanto, GamersNexus ha notificado a algunos de los socios más importantes de Zotac para informarles sobre la exposición de datos confidenciales y se están realizando esfuerzos para remediarlo.

El canal de YouTube reveló que el culpable fue Zotac USA a través de un vídeo publicado ayer después de recibir una respuesta de la empresa.

La mayoría de los datos ya están protegidos, aunque todavía aparecen en la Búsqueda de Google. Dicho esto, la mayoría de los documentos privados ya no son accesibles al público.

GamersNexus finalmente se puso en contacto con un portavoz de Zotac, quien les dijo que habían desactivado el botón de carga de documentos en su portal RMA y que ahora pedían a los clientes que enviaran por correo electrónico los archivos que acompañaban a sus solicitudes.

Si ha utilizado anteriormente el servicio RMA de Zotac, debe considerar que su información personal está expuesta y tomar las precauciones necesarias para mitigar el riesgo. Como actualmente se desconoce la duración de la exposición, no existe una fecha RMA «segura».

BleepingComputer se comunicó con Zotac para obtener más información sobre la exposición de datos, pero no hubo una declaración disponible de inmediato.