Início » Antivírus e Segurança » Natura expõe dados pessoais de 250 mil clientes em servidores desprotegidos

Natura expõe dados pessoais de 250 mil clientes em servidores desprotegidos

Natura deixou expostos dois servidores com dados pessoais de clientes, incluindo nome, e-mail, endereço e telefone

Felipe Ventura Por

A empresa de cosméticos Natura deixou expostos dois bancos de dados com informações de mais de 250 mil clientes, incluindo nome completo, nome da mãe, data de nascimento, e-mail, endereço físico e número de telefone. A companhia afirma que se tratava de um servidor de testes e que não houve risco de exposição de dados.

Natura

A descoberta foi feita em 12 de abril pela equipe de segurança da Safety Detectives, liderada pelo pesquisador Anurag Sen. Um dos servidores da Natura, hospedado na nuvem da Amazon, podia ser acessado sem uso de senha. Ele tinha 272 GB de dados e estava exposto desde pelo menos o final de março.

A empresa foi avisada, não respondeu, mas o tamanho do servidor misteriosamente diminuiu para 27,2 GB. “Essa é uma forte indicação de má conduta intencional que visa ocultar a gravidade do vazamento”, dizem os pesquisadores.

Além disso, nos últimos dias, a Safety Detectives encontrou outro servidor exposto, desta vez com 1,3 TB. Ele incluía as mesmas informações do primeiro servidor, mais cookies de navegador dos usuários e outros dados.

“Tentamos entrar em contato com a empresa assim que o descobrimos, mas novamente ninguém nos respondeu”, explica a equipe de segurança. “Contatamos a Amazon para que eles pudessem informar o cliente e, depois de alguns dias, o servidor foi protegido.”

Vazamento da Natura

Clique para ampliar

Natura expôs dados pessoais

Entre as informações expostas, havia credenciais de login para o site da Natura, incluindo senhas com hash e salt — ou seja, convertidas em uma sequência de letras, números e símbolos por um algoritmo. Isso “potencialmente permite que hackers encontrem a senha correta para cada usuário” através de ataques de força bruta, segundo a Safety Detectives.

Além disso, o banco de dados continha mais de 40 mil detalhes de contas MOIP e Wirecard com tokens de acesso. A MOIP, empresa de pagamentos adquirida pela Wirecard, cuida dos pagamentos na plataforma online da Natura.

Vazamento da Natura

Clique para ampliar

Estes foram os dados expostos nos dois servidores da Natura:

  • nome completo
  • nome da mãe
  • data de nascimento
  • nacionalidade
  • gênero
  • número de telefone
  • endereço físico
  • endereço de e-mail
  • credenciais de login da Natura.com.br, incluindo senhas com hash
  • modelo de e-mail de boas-vindas
  • compras anteriores
  • detalhes da conta MOIP
  • credenciais de API, incluindo senhas não criptografadas
  • token de acesso da Wirecard

Natura diz que servidor era de testes

Em nota à imprensa, a Natura afirma que os dados estavam em um servidor de testes que foi “eliminado imediatamente após ser identificado, sem risco de exposição de dados”. Ela diz que comunica imediatamente seus clientes e consultoras quando há risco à segurança.

Esta é a declaração na íntegra:

Em relação ao relatório da empresa Safety Detectives, a Natura esclarece que detectou um ambiente vulnerável em um servidor de teste, que não faz parte de seus sistemas produtivos da companhia. O ambiente foi eliminado imediatamente após ser identificado, sem risco de exposição de dados.

A Natura realiza atualizações frequentes em seus sistemas e tem redobrado o cuidado com a segurança da informação. Falhas de segurança detectadas pela companhia ou por parceiros são submetidas a análise técnica criteriosa. Caso a apuração indique potencial risco a consultoras e consumidores, eles são comunicados imediatamente sobre o ocorrido.

Comentários da Comunidade

Participe da discussão
6 usuários participando

Os mais notáveis

Comentários com a maior pontuação

André Noia (@Andre_Noia)

Isso explica o fato de eu ter recebido aquele aviso do Google Chrome de que essa senha havia sido exposta e, do nada, o site da Natura passou a não aceitar a senha anterior. A questão é que em momento algum eles me alertaram de que tinham revogado aquela senha por conta de vazamento. Pra mim, eu tinha simplesmente esquecido. A questão é que é difícil esquecer uma senha que está memorizada no navegador.

ochateador (@ochateador)

Servidor de teste
Contém dados pessoais

Essa empresa possui uma “excelente equipe” de informática.

@Andre_Noia
Se me informaram corretamente, a LGPD vale para “vazamentos” que ocorreram antes da implantação da lei.

Higo Ferreira (@higoff)

Se o Chrome detectou que a senha havia vazado, já há uma indicação de que os dados realmente foram expostos, contrariando a versão da Natura.