Datos personales de 250.000 clientes de Natura expuestos en Internet | WeLiveSecurity

Datos personales de 250.000 clientes de Natura expuestos en Internet

Servidores mal configurados de la popular compañía de cosméticos dejaron expuestos más de 190 millones de registros con información personal y financiera de sus clientes, de los cuales el 90% son de Brasil.

Servidores mal configurados de la popular compañía de cosméticos dejaron expuestos más de 190 millones de registros con información personal y financiera de sus clientes, de los cuales el 90% son de Brasil.

Investigadores descubrieron dos servidores alojados en Amazon expuestos al público, pertenecientes a la compañía de cosméticos de origen brasileña Natura, que contenían 272 gigabytes y 1.3 terabytes respectivamente, con aproximadamente 192 millones de registros con datos personales y financieros perteneciente a clientes.

La información, accesible al público por error, incluía información personalmente identificable así como detalles de las cuentas de pago y tokens de acceso de unos 40.000 clientes de Wirecard, compañía que adquirió hace un tiempo atrás a Moip, un proveedor de servicios de pago en línea popular en Brasil.

Si bien el 90% de los datos expuestos pertenecen a clientes de Brasil, los investigadores de SafetyDetective, responsables del hallazgo, afirman que también hay información de clientes de otros países, como Perú.

Concretamente, la información personal expuesta incluía: nombres completos, nombre completo de la madre, fecha de nacimiento, nacionalidad, género, contraseñas de inicio de sesión hasheadas con salto para el sitio web de la compañía, nombres de usuario, detalles de cuentas Moip, credenciales de la API con contraseñas sin cifrado, compras recientes, números de teléfono, dirección física y de correo electrónico y tokens de acceso para el sitio de Wirecard.

Lectura relacionada: La mala gestión de los datos por parte de las empresas y sus consecuencias

Por si fuera poco, dentro de la información expuesta había un certificado .pem que contenía la llave y contraseña para el servidor de Amazon en el que estaba alojado el sitio web de Natura.

El hallazgo de estos servidores expuestos ocurrió el 12 de abril y fue reportado a la compañía, quien corrigió el fallo. Por lo tanto, la información ya no está accesible de manera pública. Si bien al momento de realizar la publicación se desconoce si durante el tiempo que estuvo expuesta la información la misma llegó a manos de actores maliciosos, se recomienda estar atento a cualquier movimiento sospechoso en sus cuentas.

Discusión