Maior marca de cosméticos do Brasil, Natura, tem falha grave e vaza dados de 250 mil clientes.

A maior empresa de cosméticos do Brasil, a Natura, acidentalmente deixou centenas de gigabytes de informações pessoais e relacionadas a pagamentos de seus clientes expostos de forma pública sem necessidade de autorização.

Uma equipe de segurança da Safety Detectives descobriu dois servidores expostos da Natura com 272 GB e 1,3 TB. Hospedados na Amazon, nos Estados Unidos, eles foram descobertos por equipe liderada pelo pesquisador Anurag Sen.

De acordo com o relatório que a Anurag compartilhou com o The Hacker News, os dados expostos incluem informações de identificação pessoal de 250.000 clientes da Natura, os cookies de login de suas contas, além de arquivos contendo registros dos servidores e usuários.

O preocupante é que as informações vazadas também incluem detalhes da conta de pagamento Moip com tokens de acesso para quase 40.000 usuários do wirecard.com.br que os integraram às suas contas Natura.

“Cerca de 90% dos usuários [afetados] eram clientes brasileiros, embora outras nacionalidades também estivessem presentes, incluindo clientes do Peru”, afirmou Anurag.

“O servidor comprometido continha logs de sites e sites móveis, expondo todas as informações do servidor de produção. Além disso, vários ‘logins da Amazon’ foram mencionados no vazamento, incluindo documentos em PDF referentes a acordos formais entre várias partes”, disse Anurag.

Eles citam que estes dados dos clientes foram encontrados:

• Nome completo
• Nome de solteira da mãe
• Data de nascimento
• Nacionalidade
• Gênero
• Credenciais de login do ‘natura.com.br’, incluindo senhas com hash
• Modelo de email de boas-vindas
• Nome de usuário e apelido
• Detalhes da conta MOIP
• Credenciais da API, incluindo senhas não criptografadas
• Compras anteriores
• Número de telefone
• E-mail e endereços físicos
• Token de acesso para o ‘wirecard.com.br’

Além disso, o servidor desprotegido também possuía um arquivo de certificado .pem secreto que contém a chave / senha do servidor Amazon EC2 onde o site Natura está hospedado.

Se explorada, a chave do servidor poderia permitir que invasores injetassem diretamente um skimmer digital diretamente no site oficial da empresa para roubar os detalhes do cartão de pagamento dos usuários em tempo real.

“Os detalhes expostos sobre o back-end, bem como as chaves dos servidores, podem ser aproveitados para realizar novos ataques e permitir uma penetração mais profunda nos sistemas existentes”, alertou o pesquisador.

A SafetyDetective tentou relatar as descobertas de sua pesquisa diretamente à empresa afetada no mês passado, mas não recebeu nenhuma resposta a tempo, após isso entrou em contato com os serviços da Amazon, que pediram à empresa para proteger os dois servidores imediatamente.

Posição oficial

Em resposta oficial a Natura disse o seguinte:

“Em relação ao relatório da empresa Safety Detectives, a Natura esclarece que detectou um ambiente vulnerável em um servidor de teste, que não faz parte de seus sistemas produtivos da companhia. O ambiente foi eliminado imediatamente após ser identificado, sem risco de exposição de dados.”

A Natura reafirma assim o seu compromisso com a ética e a transparência.

• Veja também: Novo documentário da Amazon Prime mostra como o Bitcoin está mudando a África

Fonte: thehackernews