Anurag Sen, pesquisador da Safety Detective, descobriu vazamentos de dados pessoais em dois servidores relacionados ao site da Natura, ambos hospedados na Amazon. Sem a devida proteção, a Natura, maior empresa de cosméticos do Brasil, deixou centenas de gigabytes de dados pessoais de seus clientes publicamente acessíveis on-line, ou seja, poderiam ser acessados por qualquer pessoa sem autenticação.
De acordo com o relatório publicado pelo pesquisador, o vazamentos em um banco de dados com 272 GB, armazenado num servidor da Amazon nos EUA, incluem dados pessoais de 250 mil consumidores da Natura, dentre esses 90% são brasileiros. Além disso, o vazamento também abrange dados de contas de 40 mil clientes relacionados à MOIP/WireCard, empresa que processa pagamentos para Natura.
O sistema desprotegido deixou divulgado dados como: nome completo, nome dos pais, data de nascimento, nacionalidade, gênero, senha de login em hash, nome de usuário e apelido, detalhes de contas do MOIP, compras recentes, número de telefone, e-mail e endereço físicos e token de acesso ao WireCard. No total, o banco de dados possui 192 milhões de registros.
A Safety Detectives ainda encontrou outro servidor exposto, incluindo 1,3 TB de dados similares ao primeiro, além de dados extras como cookies de sessão.
Além dos dados pessoais expostos, também foi detectado um arquivo secreto do Privacy Enhanced Mail (PEM), que contém um certificado com a chave/senha de um servidor baseado na nuvem da Amazon nos EUA, onde o site da Natura está hospedado. O pesquisador ressalta que com acesso a essas informações um invasor poderia colocar script malicioso no site oficial da empresa, e, assim, ter acesso aos detalhes de pagamento por cartão de crédito dos usuários.
Do ponto de vista de cyber segurança, os clientes da empresa ficaram vulneráveis à fraude financeira e roubo de identidade. Os clientes da Natura devem ficar vigilantes, alterar suas senhas e acompanhar de perto as transações com cartões de pagamento.
O incidente foi divulgado dia 19 de maio, mas, segundo o relatório, os dados estavam expostos desde final de março. Após o incidente, a Natura enviou o seguinte posicionamento oficial:
“Em relação ao relatório da empresa Safety Detectives, a Natura esclarece que detectou um ambiente vulnerável em um servidor de teste, que não faz parte de seus sistemas produtivos da companhia. O ambiente foi eliminado imediatamente após ser identificado, sem risco de exposição de dados.
A Natura realiza atualizações frequentes em seus sistemas e tem redobrado o cuidado com a segurança da informação. Falhas de segurança detectadas pela companhia ou por parceiros são submetidas a análise técnica criteriosa. Caso a apuração indique potencial risco a consultoras e consumidores, eles são comunicados imediatamente sobre o ocorrido.
A Natura reafirma assim o seu compromisso com a ética e a transparência.”
Fontes: Pymnts, Tecnoblog, The Hacker News. Imagem: Shutterstock
Este clipping de notícias é uma iniciativa do Solere – Data Protection Compliance para esclarecer diversos temas relacionados à dados pessoais e a proteção deles. Somos especializados em direito empresarial e somos certificados Data Protection Officer (DPO) pelo Bureau Veritas. Conheça nossos serviços e veja como podemos ajudar a sua empresa se adequar à LGPD e não sofrer penalidades.