Os dados estavam em dois servidores hospedados na AWS, descobertos na web por um pesquisador da empresa SafetyDetectives. Um armazenava 272GB e outro 1.3TB
O pesquisador de segurança Anurag Sen, da empresa SafetyDetectives, anunciou hoje no Twitter ter descoberto uma grande exposição de dados da Natura. Os dados estavam em dois servidores hospedados na AWS, sendo um de 272GB e outro de 1.3TB. No total, eles acumulam um total da ordem de 192 milhões de registros.
A SafetyDetectives declarou que houve tentativas de informar a Natura diretamente, mas que isso não foi possível. Depois, entrou em contato com os serviços da Amazon, que pediram à empresa para proteger os dois servidores imediatamente, afirma a SafetyDetectives.
O CISO Advisor entrou em contato com a assessoria de imprensa da Natura e recebeu esta declaração da empresa: “
“Em relação ao relatório da empresa Safety Detectives, a Natura esclarece que detectou um ambiente vulnerável em um servidor de teste, que não faz parte de seus sistemas produtivos da companhia. O ambiente foi eliminado imediatamente após ser identificado, sem risco de exposição de dados.
A Natura realiza atualizações frequentes em seus sistemas e tem redobrado o cuidado com a segurança da informação. Falhas de segurança detectadas pela companhia ou por parceiros são submetidas a análise técnica criteriosa. Caso a apuração indique potencial risco a consultoras e consumidores, eles são comunicados imediatamente sobre o ocorrido.
A Natura reafirma assim o seu compromisso com a ética e a transparência.”
Ali estavam dados de mais de 250.000 clientes que encomendaram produtos no site da empresa, e cujas informações pessoais ficaram expostas sem o conhecimento da Natura. As informações de pagamento de 40.000 clientes relacionados a uma empresa terceirizada, a Wirecard, também ficaram disponíveis ao público por mais de duas semanas informou a SafetyDetectives.
O pesquisador que fez a descoberta informou que estiveram dados de identificação pessoal e os cookies de login de suas contas, além de arquivos contendo registros dos servidores e de usuários.
O preocupante, segundo o pesquisador, é que as informações vazadas também incluem detalhes da conta de pagamento Moip, com tokens de acesso para quase 40.000 usuários do wirecard.com.br – tokens que integraram as contas de pagamento às contas da Natura, diz o pesquisador.
Anurag disse que cerca de 90% dos usuários são Brasil, embora haja gente de outros países: “O servidor comprometido continha logs de API, expondo todas as informações do servidor de produção. Além disso, vários nomes de ‘buckets’ da Amazon estão presentes no vazamento, incluindo documentos em PDF referentes a acordos”, disse Anurag.
As informações pessoais dos clientes, segundo o pesquisador, são as seguintes:
- Nome completo
- Nome de solteira da mãe
- Data de nascimento
- Nacionalidade
- Gênero
- Senhas de login com hash e sal
- Nome de usuário e apelido
- Detalhes da conta MOIP
- Credenciais de API com senhas não criptografadas
- Compras recentes
- Número de telefone
- E-mail e endereços físicos
- Token de acesso para wirecard.com.br
Além disso, disse Anurag, o servidor desprotegido também possuía um arquivo de certificado “.pem” secreto, que contém a chave / senha do servidor Amazon EC2 onde o site Natura está hospedado.
Se explorada, a chave do servidor poderia permitir que invasores injetassem diretamente um skimmer digital diretamente no site oficial da empresa para roubar os detalhes do cartão de pagamento dos usuários em tempo real: “Os detalhes expostos sobre o back-end, bem como as chaves dos servidores, podem ser aproveitados para realizar novos ataques e permitir uma penetração mais profunda nos sistemas existentes”, alertou o pesquisador.
Fonte: CISO Advisor