Da un'indagine giornalistica svolta da Gamers Nexus è emersa una grave e preoccupante fuga di dati subita da Zotac, azienda nota per le sue ottime schede video già finita nel mirino della FTC per le sue pratiche di garanzia "poco trasparenti". Dopo aver ricevuto la segnalazione di un utente, i giornalisti hanno appreso che i documenti legati alle richieste di autorizzazione per la sostituzione o riparazione del materiale (Return Material Authorization, RMA) erano disponibili pubblicamente sul web e indicizzate su Google. Questi documenti contenevano nomi completi, numeri di telefono, indirizzi email e postali e altre informazioni sensibili.
La fuga di dati è stata scoperta da un utente che, cercando il proprio nome su Google, ha trovato un documento caricato in precedenza nell'apposita sezione del sito Zotac come parte di una richiesta di RMA. Il lettore ha immediatamente notificato sia Zotac che Gamers Nexus. Zotac ha prontamente rimosso l'accesso all'allegato dell'interessato, ma Gamers Nexus ha scoperto quanto fosse vasta e grave la perdita di dati. Infatti, si sono trovati allegati RMA di diversi consumatori con email e fogli di calcolo contenenti informazioni personali.
Di seguito il video pubblicato da Gamers Nexus che spiega nei dettagli la vicenda:
Oltre a ciò, altri documenti includono fatture aziendali indirizzate a compagnie come Micro Center, iBuyPower e altre. In almeno un caso, un documento conteneva un numero che poteva essere un numero di identificazione del datore di lavoro o un numero di sicurezza sociale. Gamers Nexus ha immediatamente avvisato Zotac delle loro scoperte, così come diversi clienti aziendali coinvolti.
Prima di inviare la notifica a Zotac, Gamers Nexus ha pubblicato un messaggio su X per stabilire un riferimento temporale su quanto tempo impiegasse l'azienda per affrontare il problema. La buona notizia è che non è passato molto tempo.
With the help of a viewer, we have discovered a major breach of privacy at a hardware vendor whereupon GN was able to download customer personal information, addresses, phone numbers, and also business-to-business invoices & orders. The company has not replied to GN. We have 1/3
— GamersNexus (@GamersNexus) July 5, 2024
Tuttavia al momento i collegamenti risultano inattivi, probabilmente perché Zotac ha corretto le autorizzazioni dei file configurati erroneamente per quella directory. L'azienda ha anche rimosso temporaneamente il pulsante "carica allegato" dal suo modulo RMA. Fino a quando gli sviluppatori web dell'azienda non risolveranno correttamente il problema, Zotac chiederà ai clienti di inviare la documentazione tramite email anziché utilizzare il portale online.
Su Google è ancora possibile trovare alcune informazioni, il che rappresenta un problema poiché Zotac non ha ancora preso misure per deindicizzare la directory con Google e le pagine dei risultati del motore di ricerca riportano ancora frammenti di informazioni. Facendo qualche prova siamo stati in grado di trovare diversi indirizzi postali di clienti in questo modo.
Se hai mai presentato una richiesta di RMA con Zotac, dovresti cercare il tuo nome su Google associandolo ai termini Zotac e RMA. Se trovi qualcosa che contiene le tue informazioni, clicca sui tre punti in alto a destra del risultato per chiedere a Google di rimuovere la pagina dai risultati di ricerca.