De persoon die beweert 49 miljoen Dell-klantgegevens te hebben, vertelde Gadget Insider dat hij op brute wijze een online bedrijfsportaal had geforceerd en klantgegevens, inclusief fysieke adressen, rechtstreeks van de servers van Dell had geschraapt.
Gadget Insider heeft geverifieerd dat sommige van de verzamelde gegevens overeenkomen met de persoonlijke gegevens van Dell-klanten.
Donderdag heeft Dell een e-mail naar klanten gestuurd. We zijn van mening dat er geen significant risico is voor onze klanten, gezien het soort informatie dat erbij betrokken is, schreef Dell in de e-mail, in een poging de impact van de inbreuk te bagatelliseren, wat impliceert dat er geen rekening wordt gehouden met de klant adressen als zeer gevoelige informatie.
De bedreigingsacteur zei dat hij zich met verschillende namen als partner op een bepaald Dell-portaal had geregistreerd. Een partner, zei hij, verwijst naar een bedrijf dat producten of diensten van Dell doorverkoopt. Nadat Dell zijn partneraccounts had goedgekeurd, zei Menelik dat hij met brute kracht klantenservicetags had gebruikt, die uit zeven cijfers bestonden en alleen uit cijfers en medeklinkers bestonden. Hij zei ook dat elke partner toegang had tot het portaal waartoe hij toegang kreeg.
[Ik] stuurde meer dan 5.000 verzoeken per minuut naar deze pagina die gevoelige informatie bevat. Geloof me of niet, ik bleef dit bijna 3 weken doen en Dell merkte niets. Bijna 50 miljoen verzoeken... Nadat ik dacht dat ik genoeg gegevens had, heb ik meerdere e-mails naar Dell gestuurd en de kwetsbaarheid gemeld. Het kostte ze bijna een week om alles op te lossen, vertelde Menelik aan Gadget Insider.
Menelik, die screenshots deelde van de verschillende e-mails die hij medio april stuurde, zei ook dat hij op een gegeven moment was gestopt met scrappen en niet de volledige database met klantgegevens had verkregen. Een woordvoerder van Dell bevestigde tegenover Gadget Insider dat het bedrijf de e-mails van de bedreigingsacteur heeft ontvangen.
De bedreigingsacteur plaatste de gestolen database met gegevens van Dell-klanten op een bekend hackforum. De forumvermelding werd voor het eerst gemeld door Daily Dark Web.
Gadget Insider bevestigde dat de bedreigingsacteur legitieme klantgegevens van Dell heeft door een handvol namen en servicetags te delen van klanten – met hun toestemming – die de e-mail met de melding van de inbreuk van Dell hebben ontvangen. In één geval vond de bedreigingsacteur de persoonlijke gegevens van een klant door in de gestolen gegevens naar zijn naam te zoeken. In een ander geval kon hij de bijbehorende gegevens van een ander slachtoffer vinden door te zoeken naar de specifieke hardwareservicetag uit een bestelling die zij had gedaan.
In andere gevallen kon Menelik de informatie niet vinden en zei dat hij niet weet hoe Dell de getroffen klanten heeft geïdentificeerd. Afgaande op de namen die je hebt opgegeven, lijkt het erop dat ze deze e-mail naar klanten hebben gestuurd die niet getroffen zijn, zei de bedreigingsacteur.
Dell heeft niet gezegd van wie de fysieke adressen zijn. Uit de analyse van Gadget Insider van een steekproef van verzamelde gegevens blijkt dat de adressen betrekking lijken te hebben op de oorspronkelijke koper van de Dell-apparatuur, zoals een bedrijf dat een artikel koopt voor een externe medewerker. In het geval van consumenten die rechtstreeks bij Dell kochten, ontdekte Gadget Insider dat veel van deze fysieke adressen ook verband hielden met het thuisadres van de consument of een andere locatie waar het artikel werd afgeleverd.
Dell betwistte onze bevindingen niet toen we voor commentaar werden benaderd.
Toen Gadget Insider een reeks specifieke vragen naar Dell stuurde op basis van wat de bedreigingsacteur zei, zei een naamloze woordvoerder van het bedrijf dat Dell, voordat het de e-mail van de bedreigingsacteur ontving, al op de hoogte was van het incident en het onderzocht, waarbij we onze reactieprocedures implementeerden en maatregelen namen. stappen. Dell heeft geen bewijs geleverd voor deze bewering.
Laten we niet vergeten dat deze bedreigingsacteur een crimineel is en dat we de politie op de hoogte hebben gesteld. We maken geen informatie openbaar die de integriteit van ons lopende onderzoek of onderzoeken door wetshandhavers in gevaar zou kunnen brengen, schreef de woordvoerder.