Zotac ha inavvertitamente condiviso su Internet molti documenti relativi a richieste RMA (Return Merchandise Authorization) che contengono i dati dei clienti. Questa grave violazione della privacy è stata scoperta da un utente del canale YouTube Gamers Nexus. Il produttore di Hong Kong ha chiuso la “falla”, ma alcuni documenti possono essere recuperati dalla cache di Google.
Errore di configurazione del server
In seguito alla segnalazione di un utente, Gamers Nexus ha pubblicato su X alcuni dettagli relativi al “data leak” involontario, ma senza indicare il nome dell’azienda. Dopo aver ricevuto una risposta è stato svelato il nome con un video su YouTube. Si tratta di Zotac USA.
Effettuando una ricerca su Google con le parole “RMA Zotac” o “Zotac RMA” venivano mostrati link a documenti PDF, fogli Excel e immagini relative a richieste RMA o fatture con numerosi dati sensibili, tra cui nomi dei clienti, indirizzi email e numeri di telefono.
A causa di un’errata configurazione del server, errata impostazione dei permessi di accesso ad una directory o assenza del blocco per i web crawler nel file robot.txt
, il produttore ha divulgato le informazioni, violando la privacy dei clienti.
La maggioranza dei documenti non è più accessibile, ma alcuni sono ancora presenti nella cache di Google. Zotac ha inoltre rimosso la possibilità di caricare gli allegati alla richiesta RMA tramite il portale dedicato (ora devono essere inviati via email). Se i clienti scoprono documenti a loro nome devono chiedere la deindicizzazione a Google, ovvero la rimozione dai risultati delle ricerche.
Zotac è uno dei tre produttori finiti sotto la lente della FTC per aver impedito agli utenti di esercitare il diritto alla garanzia.