A Natura é uma das maiores fabricantes de cosméticos do Brasil e até mesmo do mundo, a empresa, no entanto a empresa, de acordo com um grupo de pesquisa, teve uma falha de segurança e expôs os dados de 250 mil clientes que tinham cadastro no site oficial da companhia.
De acordo com informações do Safety Detectives, empresa especializada em segurança cibernética e que descobriu a fala, a empresa de produtos de beleza, por falha de segurança, expôs os dados de seus clientes em servidores públicos que poderiam ser acessados sem a necessidade de autenticação ou identificação.
Segundo a equipe e pesquisa, os dados eram dos clientes que tinham realizado pedidos no site da empresa. No total, foram 250 mil pessoas expostas, além de 40 mil dados de pagamento relacionados a empresa Wirecard, uma companhia de pagamentos terceirizada.
Os dados estavam hospedados em servidores da Amazon nos Estados Unidos em dois “pacotes” diferentes, um com 272 GB e 1.3TB. O vazamento foi detectado inicialmente no dia 12 de abril desse ano.
O site também aponta que, desde que o vazamento foi descoberto e relatado para a Natura, o número de dados nos servidores diminuiu de 272 GB para 27.2 GB, de acordo com os dados do servidor.
“Este é um forte indicativo de que ações feitas para diminuir a seriedade dos vazamentos. Por exemplo, um hacker mal-intencionado removendo um número preciso de informações para esconder suas ações.”
O que foi exposto?
O número de dados vazados é impressionante. Apenas no servidor com 270 GB foram encontrados mais e 192 milhões de dados pessoais. Esses dados continham informações sobre:
- Nome completo
- Nome de solteira da mãe
- Data de nascimento
- Nacionalidade
- Gênero
- Credenciais de login do natura.com.br, incluindo senhas com hash
- Modelo de e-mail de boas-vindas
- Nome de usuário e apelido
- Detalhes da conta MOIP
- Credenciais da API, incluindo senhas não criptografadas
- Compras anteriores
- Número de telefone
- E-mail e endereço físico
- Token de acesso para o wirecard.com.br
Cerca de 90% dos usuários expostos eram brasileiros, mas existem outros de outras nacionalidades.
Esses são dados que costumam ser vendidos na deep web após esse tipo de vazamento e que podem ser usados para diferentes tipos de crimes, incluindo fraudes e falsidade ideológica. O Safety Detectivies não informou se alguns desses dados foram encontrados no mercado negro.
Natura diz que dados vazados não representam nenhum risco
O site TecMundo encontrou em contato com a empresa de cosméticos, que disse que o servidor detectado era de teste e que não há risco de vazamento de dados reais de seus clientes.
“Em relação ao relatório da empresa Safety Detectives, a Natura esclarece que detectou um ambiente vulnerável em um servidor de teste, que não faz parte de seus sistemas produtivos da companhia. O ambiente foi eliminado imediatamente após ser identificado, sem risco de exposição de dados.”