Vazamento de dados de clientes da Natura


A maior empresa de cosméticos do Brasil, uma Natura, acidentalmente deixou centenas de gigabytes de informações pessoais e relacionados a pagamentos de seus clientes publicamente disponíveis on-line. O vazamento expõe dados de clientes da Natura que podem ser acessados ​​por qualquer pessoa sem autenticação.

Desentupidora Daqui da Cidade Faz todos os serviços de  Desentupidora em todos Bairros da Cidade, a qualquer hora do dia ou a da noite pode contar com A Desentupidora Daqui da Cidade atende em qualquer bairro da Cidade e em toda a Região. A Desentupidora da Cidade faz todos os serviços de Desentupimento de Esgoto neste que é um dos Bairros mais querido da nossa Cidade. Caso queira ver nossa tabela de preço para serviço de Desentupidora em Cidade Clique aqui.

Desentupidora Daqui da Cidade atende 24 horas em todos os bairros da Cidade

Desentupidora
Desentupidora Daqui da Cidade
 

O pesquisador da SafetyDetective, Anurag Sen, foi quem fez uma descoberta, ainda no mês passado. Segundo ele, dois servidores hospedados na Amazon estavam (ou ainda estão) sem proteção. Um com 272 GB e outro tamanho de 1,3 TB. Juntos, possuíam mais de 192 milhões de registros.

De acordo com o relatório que a Anurag divertou with the site The Hacker News, os dados expostos incluem:

  • uma identificação pessoal de 250.000 clientes da Natura;
  • os cookies de login de suas contas;
  • além de arquivos incluídos registros dos servidores e usuários.

O preocupante é que as informações vazadas também contêm detalhes da conta de pagamento Moip com tokens de acesso para quase 40.000 usuários do wirecard.com.br que são integrados às suas contas Natura.

Cerca de 90% dos usuários eram clientes brasileiros, embora outros nacionais também estivessem presentes, incluindo clientes no Peru, disse Anurag.

O servidor comprometido contém logs da API de sites e sites móveis, expondo todas as informações do servidor de produção. Além disso, vários nomes de caçambas da Amazônia foram incluídos no vazamento, incluindo documentos em PDF relacionados a acordos formados entre várias partes, disse Anurag.

Vazamento expõe os seguintes dados de clientes da Natura

Vazamento de dados de clientes da Natura

  • Nome completo
  • Nome de solteira da mãe
  • Data de nascimento
  • Nacionalidade
  • Gênero
  • Senhas de login com hash com sais
  • Nome do usuário e apelido
  • Detalhes da conta MOIP
  • Credenciais de API com senhas não criptografadas
  • Compras recentes
  • Número de telefone
  • E-mail e endereços físicos
  • Token de acesso para wirecard.com.br

Além disso, o servidor desprotegido também possuía um arquivo de certificado .pem secreto que contém a chave / senha do servidor Amazon EC2 onde o site Natura está hospedado. Se explorado, uma chave do servidor pode permitir que invasores injetem diretamente um skimmer digital diretamente no site oficial da empresa para roubar ou detalhes do cartão de pagamento dos usuários em tempo real.

Os detalhes expostos sobre o back-end, bem como as chaves dos servidores, podem ser usados ​​para executar novos ataques e permitir uma penetração mais profunda nos sistemas existentes, alertando ou pesquisando.

Natura foi avisada e não deu retorno

Um SafetyDetective está relacionado como descobertas de seu pesquisador diretamente na empresa afetada no mês passado, mas não receberam nenhuma resposta no tempo. Sendo assim, entrou em contato com os serviços da Amazon, que entrou em contato com a empresa para proteger os dois servidores armazenados.

Até agora, não sabemos se os servidores desprotegidos e os dados confidenciais armazenados também foram acessados ​​por um agente malicioso antes de ficar offline.

Portanto, se você possui uma conta na Natura, fique atento. Sua identidade pode ter sido alterada, junto com a senha. Isso pode levar a movimentações financeiras indevidas. Ainda segundo o pesquisador, o risco de phishing e golpes telefônicos é grande.

The Hacker News



Fonte: Post Completo