A pessoa que afirma ter 49 milhões de registros de clientes da Dell disse ao TechCrunch que fez uso de força bruta em um portal online da empresa e extraiu dados de clientes, incluindo endereços físicos, diretamente dos servidores da Dell.
O TechCrunch verificou que alguns dos dados extraídos correspondem às informações pessoais dos clientes da Dell.
Na quinta-feira, a Dell enviou um e-mail aos clientes dizendo que a fabricante de computadores havia sofrido uma violação de dados que incluía nomes de clientes, endereços físicos e informações de pedidos da Dell.
“Acreditamos que não há um risco significativo para nossos clientes, dado o tipo de informação envolvida”, escreveu a Dell no e-mail, em uma tentativa de minimizar o impacto da violação, o que implica que não considera os endereços dos clientes “altamente confidenciais”. Informação.
O ator da ameaça disse que se registrou com vários nomes diferentes em um portal específico da Dell como “parceiro”. Parceiro, disse ele, refere-se a uma empresa que revende produtos ou serviços Dell. Depois que a Dell aprovou suas contas de parceiros, Menelik disse que usou etiquetas de atendimento ao cliente à força bruta, que são compostas de sete dígitos apenas de números e consoantes. Disse ainda que “qualquer tipo de parceiro” poderia aceder ao portal ao qual lhe foi concedido acesso.
“[I] enviou mais de 5.000 solicitações por minuto para esta página que contém informações confidenciais. Acredite ou não, continuei fazendo isso por quase três semanas e a Dell percebeu alguma coisa. Quase 50 milhões de solicitações… Depois de achar que tinha dados suficientes, enviei vários e-mails para a Dell e notifiquei a vulnerabilidade. Eles levaram quase uma semana para consertar tudo”, disse Menelik ao TechCrunch.
Menelik, que compartilhou capturas de tela dos vários e-mails que enviou em meados de abril, também disse que em algum momento parou de fazer scraping e não obteve o banco de dados completo de dados de clientes. Um porta-voz da Dell confirmou ao TechCrunch que a empresa recebeu os e-mails do autor da ameaça.
O agente da ameaça listou o banco de dados roubado de dados de clientes da Dell em um conhecido fórum de hackers. A listagem do fórum foi relatado pela primeira vez pelo Daily Dark Web.
O TechCrunch confirmou que o agente da ameaça possui dados legítimos de clientes da Dell, compartilhando vários nomes e etiquetas de serviço de clientes – com sua permissão – que receberam o e-mail de notificação de violação da Dell. Em um caso, o agente da ameaça encontrou as informações pessoais de um cliente pesquisando seu nome nos registros roubados. Em outro caso, ele conseguiu encontrar o registro correspondente de outra vítima procurando a etiqueta de serviço de hardware específica de um pedido feito por ela.
Em outros casos, Menelik não conseguiu encontrar as informações e disse não saber como a Dell identificou os clientes impactados. “A julgar pelos nomes que você forneceu, parece que eles enviaram este e-mail para clientes que não foram afetados”, disse o agente da ameaça.
A Dell não disse a quem pertencem os endereços físicos. A análise do TechCrunch de uma amostra de dados extraídos mostra que os endereços parecem estar relacionados ao comprador original do equipamento Dell, como uma empresa que compra um item para um funcionário remoto. No caso de consumidores que compram diretamente da Dell, o TechCrunch descobriu que muitos desses endereços físicos também se correlacionam com o endereço residencial do consumidor ou outro local onde o item foi entregue.
A Dell não contestou nossas descobertas quando foi contatada para comentar.
Quando o TechCrunch enviou uma série de perguntas específicas à Dell com base no que o autor da ameaça disse, um porta-voz anônimo da empresa disse que “antes de receber o e-mail do agente da ameaça, a Dell já estava ciente e investigando o incidente, implementando nossos procedimentos de resposta e tomando medidas de contenção passos.” A Dell não forneceu evidências para esta afirmação.
“Vamos ter em mente que esse autor da ameaça é um criminoso e notificamos as autoridades. Não estamos divulgando nenhuma informação que possa comprometer a integridade de nossa investigação em andamento ou de quaisquer investigações por parte das autoridades policiais”, escreveu o porta-voz.
