Um problema de segurança grave na Zotac, fabricante de hardware para computador, deixou dados pessoais de clientes vulneráveis a buscas no Google. A descoberta foi feita pelo canal de tecnologia Gamers Nexus, após um espectador percebeu que documentos enviados para solicitações de RMA (autorização de retorno de mercadoria) estavam acessíveis publicamente na internet.
esses documentos, contendo informações como nome completo, telefone, e-mail, endereço e possivelmente até dados de empresas, ficaram indexados pelo Google, o que significa que qualquer pessoa poderia encontrá-los através de uma simples pesquisa.
O vazamento foi alertado inicialmente pelo espectador à empresa e ao Gamers Nexus. A empresa removeu o acesso imediato ao documento do usuário que notificou o problema, mas a investigação revelou que o vazamento era bem mais amplo.
Arquivos anexados em solicitações de RMA, incluindo planilhas e e-mails com dados pessoais, estavam disponíveis. Documentos como faturas corporativas para empresas como Micro Center e iBuyPower também foram encontrados. Em pelo menos um caso, o vazamento continha o que parecia ser um número de identificação do empregador ou CPF.
O Gamers Nexus comunicou a Zotac e algumas das empresas afetadas sobre a gravidade da situação. Apesar de não terem divulgado o nome da Zotac publicamente, o canal de tecnologia marcou a data e hora para registrar o tempo de resposta da empresa para solucionar o problema.
A boa notícia é que a empresa agiu rapidamente. Ao buscar por “RMA Zotac” no Google, ainda é possível encontrar centenas de arquivos PDF e Excel enviados para a página de RMA e garantia da empresa. No entanto, os links agora não funcionam mais, indicando que a Zotac corrigiu a configuração incorreta de permissões de acesso aos arquivos.
Como medida adicional, o botão “enviar anexo” foi removido rapidamente do formulário de RMA. Até que a falha seja completamente corrigida, a empresa solicita que os clientes enviem a documentação por e-mail.
Preocupante é que algumas informações ainda podem ser recuperadas através do cache do Google, já que a Zotac não solicitou a desindexação do diretório. Isso significa que partes de dados vazados ainda podem aparecer em resultados de pesquisa.
Se você solicitou RMA para a Zotac no passado, é recomendável pesquisar seu nome no Google junto com “Zotac” e “RMA”. Caso encontre algum documento contendo seus dados, clique nos três pontos no canto superior direito do resultado e solicite ao Google a remoção da página dos resultados de pesquisa.
