Natura expõe dados pessoais de 250 mil clientes em servidores desprotegidos

Natura deixou expostos dois servidores com dados pessoais de clientes, incluindo nome, e-mail, endereço e telefone

Felipe Ventura
• Atualizado há 3 anos e 1 mês
Natura

A empresa de cosméticos Natura deixou expostos dois bancos de dados com informações de mais de 250 mil clientes, incluindo nome completo, nome da mãe, data de nascimento, e-mail, endereço físico e número de telefone. A companhia afirma que se tratava de um servidor de testes e que não houve risco de exposição de dados.

A descoberta foi feita em 12 de abril pela equipe de segurança da Safety Detectives, liderada pelo pesquisador Anurag Sen. Um dos servidores da Natura, hospedado na nuvem da Amazon, podia ser acessado sem uso de senha. Ele tinha 272 GB de dados e estava exposto desde pelo menos o final de março.

A empresa foi avisada, não respondeu, mas o tamanho do servidor misteriosamente diminuiu para 27,2 GB. “Essa é uma forte indicação de má conduta intencional que visa ocultar a gravidade do vazamento”, dizem os pesquisadores.

Além disso, nos últimos dias, a Safety Detectives encontrou outro servidor exposto, desta vez com 1,3 TB. Ele incluía as mesmas informações do primeiro servidor, mais cookies de navegador dos usuários e outros dados.

“Tentamos entrar em contato com a empresa assim que o descobrimos, mas novamente ninguém nos respondeu”, explica a equipe de segurança. “Contatamos a Amazon para que eles pudessem informar o cliente e, depois de alguns dias, o servidor foi protegido.”

Vazamento da Natura

Clique para ampliar

Natura expôs dados pessoais

Entre as informações expostas, havia credenciais de login para o site da Natura, incluindo senhas com hash e salt — ou seja, convertidas em uma sequência de letras, números e símbolos por um algoritmo. Isso “potencialmente permite que hackers encontrem a senha correta para cada usuário” através de ataques de força bruta, segundo a Safety Detectives.

Além disso, o banco de dados continha mais de 40 mil detalhes de contas MOIP e Wirecard com tokens de acesso. A MOIP, empresa de pagamentos adquirida pela Wirecard, cuida dos pagamentos na plataforma online da Natura.

Vazamento da Natura

Clique para ampliar

Estes foram os dados expostos nos dois servidores da Natura:

  • nome completo
  • nome da mãe
  • data de nascimento
  • nacionalidade
  • gênero
  • número de telefone
  • endereço físico
  • endereço de e-mail
  • credenciais de login da Natura.com.br, incluindo senhas com hash
  • modelo de e-mail de boas-vindas
  • compras anteriores
  • detalhes da conta MOIP
  • credenciais de API, incluindo senhas não criptografadas
  • token de acesso da Wirecard

Natura diz que servidor era de testes

Em nota à imprensa, a Natura afirma que os dados estavam em um servidor de testes que foi “eliminado imediatamente após ser identificado, sem risco de exposição de dados”. Ela diz que comunica imediatamente seus clientes e consultoras quando há risco à segurança.

Esta é a declaração na íntegra:

Em relação ao relatório da empresa Safety Detectives, a Natura esclarece que detectou um ambiente vulnerável em um servidor de teste, que não faz parte de seus sistemas produtivos da companhia. O ambiente foi eliminado imediatamente após ser identificado, sem risco de exposição de dados.

A Natura realiza atualizações frequentes em seus sistemas e tem redobrado o cuidado com a segurança da informação. Falhas de segurança detectadas pela companhia ou por parceiros são submetidas a análise técnica criteriosa. Caso a apuração indique potencial risco a consultoras e consumidores, eles são comunicados imediatamente sobre o ocorrido.

Relacionados

Escrito por

Felipe Ventura

Felipe Ventura

Ex-editor

Felipe Ventura fez graduação em Economia pela FEA-USP, e trabalha com jornalismo desde 2009. No Tecnoblog, atuou entre 2017 e 2023 como editor de notícias, ajudando a cobrir os principais fatos de tecnologia. Sua paixão pela comunicação começou em um estágio na editora Axel Springer na Alemanha. Foi repórter e editor-assistente no Gizmodo Brasil.