A Natura teve um vazamento de dados. O pesquisador da SafetyDetective, Anurag Sen, descobriu no mês passado que dois servidores hospedados na Amazon pertencentes à Natura estavam sem proteção. Segundo o The Hacker News, os servidores, com 272 GB e 1,3 TB de tamanho, guardavam mais de 192 milhões de registros. Os dados expostos incluem informações de identificação pessoal de 250 mil clientes, além dos cookies de login de suas contas e arquivos contendo registros dos servidores e usuários. Cerca de 90% dos usuários afetados são clientes brasileiros, embora outras nacionalidades também estejam presentes.
O servidor comprometido continha logs de API de sites e sites móveis, expondo todas as informações do servidor de produção, descobriu o pesquisador. Além disso, vários "nomes de buckets da Amazon" foram mencionados no vazamento, incluindo documentos em PDF referentes a acordos formais entre várias partes. Ainda segundo a notícia, as informações vazadas também incluem detalhes da conta de pagamento Moip com tokens de acesso para quase 40 mil usuários do wirecard.com.br que o integraram às suas contas Natura.
As informações pessoais sensíveis vazadas dos clientes incluem nome completo; nome de solteira da mãe; data de nascimento; nacionalidade; gênero; senhas de login com hash com sais; nome de usuário e apelido; detalhes da conta MOIP; credenciais de API com senhas não criptografadas; compras recentes; número de telefone; e-mail e endereços físicos; e token de acesso para wirecard.com.br. O servidor desprotegido também possuía um arquivo de certificado .pem secreto que contém a chave/senha do servidor Amazon EC2 onde o site Natura está hospedado. Se explorada, a chave do servidor permite que atacantes injetem diretamente um skimmer digital no site da empresa para roubar os detalhes do cartão de crédito dos usuários em tempo real.
A recomendação para quem possui uma conta na Natura é manter-se vigilante contra roubo de identidade, alterar a senha da conta e acompanhar de perto as transações do cartão de pagamento para detectar sinais de qualquer atividade suspeita.
Editado por Bruna Chieco
Comentários Recomendados
Participe da conversa
Você pode postar agora e se cadastrar mais tarde. Se você tem uma conta, faça o login para postar com sua conta.