0
0
Um dos principais varejistas on-line do Brasil, a Natura&Co, foi informado de um vazamento significativo de dados em seu site, https://www.natura.com.br.
Mais de 250.000 clientes que já haviam encomendado produtos de beleza no site tiveram suas informações pessoais disponibilizadas ao público sem o conhecimento da Natura. Informações de pagamento de 40.000 clientes relacionadas a uma empresa terceirizada, a Wirecard, também estavam disponíveis publicamente por mais de 2 semanas.
Quem é a Natura?
A Natura&Co é uma empresa brasileira de perfumaria/cosméticos com sede em São Paulo, com operações comerciais se estendendo globalmente como resultado de vendas on-line. No total, a empresa tem mais de 40.000 funcionários e gera cerca de US$ 10 bilhões em receita a cada ano. A empresa-mãe também possui Natura Cosméticos, Aesop, The Body Shop e Avon, com receitas de vendas geradas em mais de 73 países em todos os continentes.
A equipe de segurança da Safety Detectives, atualmente liderada por Anurag Sen, descobriu um vazamento significativo de dados, incluindo vários itens de informações pessoais em um servidor hospedado na Amazon de 272 gigabytes, localizado nos EUA.
Estranhamente, desde que o vazamento de dados foi descoberto e a Natura foi informada, o tamanho do vazamento de dados foi reduzido de 272 GB para 27,2 GB, de acordo com os registros do servidor – esta é uma forte indicação de impropriedade proposital destinada a ocultar a gravidade do vazamento. Por exemplo, um hacker mal-intencionado removendo um número preciso de registros para ocultar suas ações.
Além disso, de acordo com os registros do servidor, o tamanho da violação de dados variou ao longo de vários dias, com a estimativa mais recente mostrando 69 GB.
Cerca de 90% dos usuários eram clientes brasileiros, embora outras nacionalidades também estivessem presentes, incluindo clientes do Peru.
O vazamento de dados foi descoberto pela primeira vez em 12 de abril de 2020, embora a equipe de segurança dos Detetives de Segurança tenha conseguido confirmar que centenas de gigabytes de informações estavam disponíveis já em 26 de março de 2020.
A Natura foi imediatamente contatada e sua gerência informada sobre o vazamento, incluindo as possíveis ramificações da vulnerabilidade descoberta em seu servidor. Este relatório agora foi publicado depois que a Natura protegeu seu servidor e removeu todos os dados privados da visualização pública.
Poucos dias antes da publicação deste relatório, embora tivéssemos confirmado que o servidor estava protegido, Anurag descobriu um novo servidor com vazamento de propriedade da Natura. Tentamos entrar em contato com a empresa assim que a descobrimos, mas novamente ninguém nos respondeu. Nós (novamente) entramos em contato com a Amazon para que eles pudessem informar seus clientes e, depois de alguns dias, o servidor ficou seguro.
Durante esses poucos dias, um servidor maior (1,3 TB) foi exposto, vazando dados semelhantes aos anteriores. Além do que estava no primeiro servidor encontrado, pudemos ver os cookies do navegador de seus usuários, bem como algumas outras informações adicionais. Não passamos muito tempo investigando este servidor, pois parecia bastante semelhante ao anterior e o proprietário já havia sido confirmado.
O que vazou?
| Número de Registros Vazados | 192 milhões de registros, incluindo Informações de Identificação Pessoal (PII) |
| Número de clientes afetados | Pelo menos 250.000, além de 40.000 detalhes da conta wirecard.com.br Moip com tokens de acesso |
| Tamanho do servidor | 272 gigabytes |
| Localização do servidor | Estados Unidos |
| Localização da empresa | Brasil |
O servidor comprometido continha registros de API de sites e sites móveis, expondo assim todas as informações do servidor de produção. Além disso, vários “nomes de baldes da Amazon” foram mencionados no vazamento, incluindo documentos PDF referentes a acordos formais entre várias partes.
No total, o banco de dados vulnerável continha mais de 270 GB de dados com mais de 192 milhões de registros.
Mais especificamente, os seguintes pontos de dados foram descobertos:
- Nome completo
- Nome de solteira da mãe
- Data de Nascimento
- Nacionalidade
- Gênero
- Credenciais de login do Natura.com.br, incluindo senhas criptografadas
- Modelo de e-mail de boas-vindas
- Nome de usuário e apelido
- Detalhes da conta MOIP
- Credenciais da API, incluindo senhas não criptografadas
- Compras anteriores
- Número de telefone
- Endereços de e-mail e físicos
- Token de acesso para wirecard.com.br
As informações expostas continham credenciais de login para mais de 250.000 clientes, incluindo o que é conhecido como “senha hashed com sais”. Essas informações potencialmente permitem que hackers encontrem a senha correta para cada usuário, forçando brutemente o hash e obtendo acesso total às contas dos clientes.
O banco de dados também continha mais de 40.000 detalhes da conta wirecard.com.br Moip com tokens de acesso.
wirecard.com.br – credenciais (MOIP) expostas com token de acesso.
Além disso, detalhes técnicos confidenciais internos, como uma chave de certificado .pem e um “segredo do cliente”, foram descobertos e acessíveis ao público.
Wirecard comercial terceirizado
O banco de dados da Natura tem um relacionamento comercial com a MOIP/wirecard.com.br – uma empresa terceirizada que facilita pagamentos on-line para a Natura.
A Wirecard iniciou suas operações europeias em 1999 e opera no Brasil desde 2017. Em 2016, a MOIP se tornou parte da empresa global de pagamentos Wirecard.
Em 2018, a avaliação da empresa ultrapassou €20 bilhões na Bolsa de Valores de Frankfurt, tornando-se uma das 30 maiores empresas de capital aberto do país.
A partir das informações descobertas no servidor, detalhes de entrega, como valor da compra, ID do carrinho e detalhes do carrinho, foram visíveis, embora os detalhes pessoais associados não fossem correspondidos às informações.
Vazamento de dados mostra compras anteriores e informações do carrinho, incluindo endereço IP
Informações detalhadas sobre produtos comprados e detalhes do pedido
Impacto da Violação de Dados
Exibir informações de identificação pessoal, incluindo senhas em um servidor não seguro, nunca é sábio e pode potencialmente levar a ramificações graves de segurança cibernética, incluindo fraude financeira e de identidade, ataques de phishing e vulnerabilidade de ransomware.
O banco de dados da Natura continha endereços físicos, números de telefone e informações pessoais dos clientes, incluindo credenciais como nomes de solteira da mãe que poderiam ser aproveitados por hackers nefastos para causar sérios danos financeiros, sociais e reputacionais àqueles afetados pelo vazamento.
Um exemplo seria usar os nomes de solteira da mãe para responder a perguntas de segurança e potencialmente acessar contas de e-mail e serviços em nuvem que, por sua vez, poderiam ser usados maliciosamente para obter acesso mais profundo às informações privadas de alguém. Alternativamente, modelos de e-mail de boas-vindas podem ser usados para iniciar golpes de phishing pelos quais o usuário clica em um link enviado pelo hacker, sob a falsa impressão de que o e-mail originou da Natura.
Além disso, o arquivo .pem exposto cria um risco significativo, pois contém a chave/senha para o servidor EC2 Amazon.
Instâncias de informações de identificação pessoal expostas podem potencialmente levar a roubo de identidade e fraude, pois podem ser usadas por atacantes para identificação em vários locais e locais.
Além disso, hashes e sais de senha expostos comprometem ainda mais a segurança dos dados privados, porque possuir sais simplifica a intrusão para atacantes. Sais são dados adicionais, usados para criptografar senhas, dificultando assim o comprometimento das senhas, mesmo que o hash esteja exposto.
O risco de phishing e golpes telefônicos também é aumentado pelo vazamento de dados da Natura. Detalhes privados podem ser usados para estabelecer confiança com o resultado final de usuários sendo direcionados e levados a fornecer mais informações, incluindo informações bancárias e de segurança.
Os dados vazados podem ser usados para extrair mais informações confidenciais e levar a identificar fraudes, bem como atividades criminosas realizadas sob pretextos de “bandeira falsa”.
Detalhes expostos sobre o backend, bem como chaves para servidores, poderiam ser aproveitados para realizar mais ataques e permitir uma penetração mais profunda nos sistemas existentes.
Impedindo a Exposição de Dados
Como você pode evitar que suas informações pessoais sejam expostas em um vazamento de dados e garantir que você não seja vítima de ataques – cibernéticos ou do mundo real – se vazarem?
- Tenha cuidado com as informações que você fornece e a quem
- Verifique se o site em que você está está seguro (procure https e/ou um bloqueio fechado)
- Apenas forneça o que você sente confiante de que não pode ser usado contra você (evite números de identificação do governo, preferências pessoais que podem causar problemas se tornado público, etc.)
- Crie senhas seguras combinando letras, números e símbolos – um gerenciador de senhas como oashlanepode facilitar isso
- Não clique em links em e-mails, a menos que tenha certeza de que o remetente é legitimamente quem eles se declaram
- Verifique novamente todas as contas de mídia social (mesmo aquelas que você não usa mais) para garantir que a privacidade de suas postagens e detalhes pessoais sejam visíveis apenas para pessoas em quem você confia
- Evite usar informações de cartão de crédito e digitar senhas em redes WiFi não seguras
- Saiba mais sobre o que constitui o cibercrime, as melhores dicas para evitar ataques de phishing e como evitar ransomware
Sobre Nós
SafetyDetectives.com é o maior site de revisão de antivírus do mundo.
O laboratório de pesquisa Safety Detective é um serviço pro bono que visa ajudar a comunidade on-line a se defender contra ameaças cibernéticas enquanto educa as organizações sobre como proteger os dados de seus usuários.
Publicado em: 19 de maio de 2020
FONTE: SAFETYDETECTIVES