A pessoa que afirma ter acesso a 49 milhões de registros de clientes da Dell disse ao TechCrunch que ele forçou a entrada em um portal online da empresa e recuperou dados dos clientes, incluindo endereços físicos, diretamente dos servidores da Dell.

O TechCrunch verificou que parte dos dados recuperados corresponde às informações pessoais dos clientes da Dell.

Na quinta-feira, a Dell enviou um e-mail aos clientes informando que a fabricante de computadores havia sofrido uma violação de dados que incluía nomes de clientes, endereços físicos e informações de pedidos da Dell.

"Acreditamos que não há um risco significativo para nossos clientes, dadas as informações envolvidas", escreveu a Dell no e-mail, numa tentativa de minimizar o impacto da violação, indicando que não considera os endereços dos clientes como informações "altamente sensíveis".

O agente de ameaças disse que se registou com vários nomes diferentes em um portal específico da Dell como "parceiro". Um parceiro, segundo ele, refere-se a uma empresa que revende produtos ou serviços da Dell. Após a aprovação das contas de parceiro pela Dell, Menelik disse que forçou a entrada nas etiquetas de serviço ao cliente, compostas por sete dígitos de apenas números e consoantes. Ele também afirmou que "qualquer tipo de parceiro" poderia acessar o portal ao qual ele obteve acesso.

"[Eu] enviei mais de 5.000 requisições por minuto para esta página que contém informações sensíveis. Acredite ou não, continuei fazendo isso por quase 3 semanas e a Dell não notou nada. Quase 50 milhões de requisições... Após eu achar que tinha dados suficientes, enviei vários e-mails para a Dell e notifiquei a vulnerabilidade. Eles levaram quase uma semana para corrigir tudo," disse Menelik ao TechCrunch.

Menelik, que compartilhou capturas de tela dos vários e-mails que enviou em meados de abril, também disse que em algum momento parou de recuperar dados e não obteve o banco de dados completo dos dados do cliente. Um porta-voz da Dell confirmou ao TechCrunch que a empresa recebeu os e-mails do agente de ameaças.

O agente de ameaças listou o banco de dados roubado de dados dos clientes da Dell em um fórum de hacking bem conhecido. A listagem do fórum foi relatada pela primeira vez pelo Daily Dark Web.

O TechCrunch confirmou que o agente de ameaças possui dados legítimos de clientes da Dell, compartilhando alguns nomes e etiquetas de serviço de clientes - com permissão deles - que receberam o e-mail de notificação de violação da Dell. Em um caso, o agente de ameaças encontrou as informações pessoais de um cliente pesquisando os registros roubados pelo seu nome. Em outro caso, ele encontrou o registro correspondente de outra vítima pesquisando a etiqueta de serviço de hardware específica de um pedido que ela fez.

Em outros casos, Menelik não conseguiu encontrar as informações e disse que não sabe como a Dell identificou os clientes afetados. "Pelo que vi nos nomes que você forneceu, parece que eles enviaram este e-mail para clientes que não foram afetados," disse o agente de ameaças.

A Dell não disse a quem pertencem os endereços físicos. A análise do TechCrunch de uma amostra de dados recuperados mostra que os endereços parecem estar relacionados ao comprador original do equipamento Dell, como uma empresa que compra um item para um funcionário remoto. No caso de consumidores comprando diretamente da Dell, o TechCrunch descobriu que muitos desses endereços físicos também correspondem ao endereço residencial do consumidor ou a outro local onde o item foi entregue.

Quando contatada para comentar, a Dell não contestou nossas descobertas.

Quando o TechCrunch enviou uma série de perguntas específicas para a Dell com base no que o agente de ameaças disse, um porta-voz da empresa não identificado disse que "antes de receber o e-mail do agente de ameaças, a Dell já estava ciente e investigando o incidente, implementando nossos procedimentos de resposta e tomando medidas de contenção." A Dell não forneceu evidências para essa alegação.

"Vamos manter em mente que este agente de ameaças é um criminoso e notificamos as autoridades. Não estamos divulgando nenhuma informação que possa comprometer a integridade de nossa investigação em andamento ou de qualquer investigação das autoridades," escreveu o porta-voz.