Vazamento de informações da Natura expõem 1.6TB de dados

Cyber security + Global news Clarity today19/05/2020 1567 4

Background
share close

Segundo o site Hacker News, a Natura, a maior empresa de cosméticos do Brasil, permitiu que informações sobre pagamentos e pessoais de seus clientes pudessem ser acessadas acidentalmente. O volume de dados expostos pôde ser contabilizado em centenas de gigabytes.

Destaca-se que, o acesso às informações, foi realizado com sucesso sem a necessidade de autenticação prévia.

O VOLUME DE DADOS

O pesquisador de segurança da informação, que realizou o acesso aos dados , descobriu em Abril/2020 dois servidores hospedados na Amazon sem proteção – com 272 GB e 1,3 TB de tamanho – pertencentes à Natura. O volume de dados consistia em mais de 192 milhões de registros.

O QUE FOI POSSÍVEL ACESSAR?

De acordo com o relatório divulgado, os dados expostos incluem informações de identificação pessoal de 250.000 clientes da Natura, os cookies de acesso, além de arquivos contendo registros dos servidores e usuários.

O ponto de atenção mais relevante indica que as informações expostas também incluem detalhes da conta de pagamento Moip com tokens de acesso para quase 40.000 usuários do wirecard.com.br que os integraram às suas contas Natura.

“Cerca de 90% dos usuários eram clientes brasileiros, embora outras nacionalidades também estivessem presentes, incluindo clientes do Peru. O servidor comprometido continha logs de API de sites e aplicativos mobile, expondo todas as informações do ambiente de produção. Além disso, vários ‘buckets da Amazon’ foram mencionados no vazamento, incluindo documentos em PDF referentes a acordos formais entre várias partes “. Explica o pesquisador em nota

Exemplo das informações expostas

As informações expostas incluem:

  • Nome completo
  • Nome de solteira da mãe
  • Data de nascimento
  • Nacionalidade
  • Gênero
  • Credenciais de acesso criptografadas
  • Nome de usuário e apelido
  • Detalhes da conta MOIP
  • Credenciais parra acesso à API não criptografadas
  • Compras recentes
  • Número de telefone
  • E-mail e endereços físicos
  • Token de acesso para wirecard.com.br

NOTIFICAÇÃO À NATURA

O pesquisador tentou relatar as descobertas diretamente à empresa afetada em Abril/2020, mas não recebeu nenhuma resposta a tempo. Com a ausência de resposta por parte da Natura, foi solicitado à Amazon, a proteção  dois servidores vulneráveis.

ALTERE SUA SENHA

Se você possui uma conta na Natura, é aconselhável manter-se vigilante contra roubo de identidade. Altere a senha de sua conta e acompanhe de perto as transações do cartão de pagamento para detectar sinais de qualquer atividade suspeita.

A CLARITY

A CLARITY, empresa especializada em produtos e serviços de segurança da informação conta, em seu portfolio, com soluções para monitoramento ativo e continuo de infraestrutura em nuvem, totalmente focada na proteção das informações e, consequentemente, do negócio.

Contate-nos por meio de nossa página de contato, ou envie um e-mail para: [email protected]

Fonte: thehackernews.com

Written by: Clarity

Tagged as: , , , .

Rate it
Previous post