Dados pessoais de 250 mil clientes da Natura foram expostos na Internet | WeLiveSecurity

Dados pessoais de 250 mil clientes da Natura foram expostos na Internet

Servidores mal configurados da empresa de cosméticos expuseram mais de 190 milhões de registros com informação pessoal e financeira de seus clientes, sendo 90% deles do Brasil.

Servidores mal configurados da empresa de cosméticos expuseram mais de 190 milhões de registros com informação pessoal e financeira de seus clientes, sendo 90% deles do Brasil.

Pesquisadores descobriram dois servidores hospedados na Amazon expostos ao público, pertencentes à companhia de cosméticos brasileira Natura, que continham 272 gigabytes e 1,3 terabytes respectivamente, com aproximadamente 192 milhões de registros com dados pessoais e financeiros de clientes.

A informação acessível ao público devido a um erro, incluía dados pessoais assim como detalhes das contas de pagamento e tokens de acesso de cerca de 40 mil clientes da Wirecard, companhia que adquiriu há um tempo a Moip, fornecedora de serviços de pagamentos on-line no Brasil.

Se bem 90% dos dados expostos pertencem a clientes do Brasil, os pesquisadores da SafetyDetective, responsáveis pela descoberta, afirmam que também há informação de outros países, como o Peru.

A informação pessoal exposta incluía: nomes completos, nome completo da mãe, data de nascimento, nacionalidade, gênero, senhas de início de sessão hasheadas com redirecionamento para o site da companhia, nomes de usuário, detalhes de contas Moip, credenciais da API com senhas sem criptografia, compras recentes, números de telefone, endereço físico e de e-mail, e tokens de acesso para o site da Wirecard.

Além disso, entre as informações expostas havia um certificado .pem que continha a chave e senha para o servidor da Amazon em que o site da Natura estava hospedado.

A descoberta desses servidores expostos ocorreu no dia 12 de abril e foi reportada para a companhia, que corrigiu a falha. Portanto, a informação já não está mais acessível de forma pública. No momento desta publicação ainda não se sabe quanto tempo esta informação ficou disponível ou se chegou nas mãos de cibercriminosos, portanto, o ideal é estar atento a qualquer movimento suspeito em suas contas.

Discussão