Natura expõe dados pessoais de 250 mil clientes em servidores desprotegidos
Natura deixou expostos dois servidores com dados pessoais de clientes, incluindo nome, e-mail, endereço e telefone
A empresa de cosméticos Natura deixou expostos dois bancos de dados com informações de mais de 250 mil clientes, incluindo nome completo, nome da mãe, data de nascimento, e-mail, endereço físico e número de telefone. A companhia afirma que se tratava de um servidor de testes e que não houve risco de exposição de dados.
- Zoom, Microsoft Teams e Google Meet viram alvos de e-mails falsos
- Descubra se alguma senha sua já vazou na internet (provavelmente já)
A descoberta foi feita em 12 de abril pela equipe de segurança da Safety Detectives, liderada pelo pesquisador Anurag Sen. Um dos servidores da Natura, hospedado na nuvem da Amazon, podia ser acessado sem uso de senha. Ele tinha 272 GB de dados e estava exposto desde pelo menos o final de março.
A empresa foi avisada, não respondeu, mas o tamanho do servidor misteriosamente diminuiu para 27,2 GB. “Essa é uma forte indicação de má conduta intencional que visa ocultar a gravidade do vazamento”, dizem os pesquisadores.
Além disso, nos últimos dias, a Safety Detectives encontrou outro servidor exposto, desta vez com 1,3 TB. Ele incluía as mesmas informações do primeiro servidor, mais cookies de navegador dos usuários e outros dados.
“Tentamos entrar em contato com a empresa assim que o descobrimos, mas novamente ninguém nos respondeu”, explica a equipe de segurança. “Contatamos a Amazon para que eles pudessem informar o cliente e, depois de alguns dias, o servidor foi protegido.”
Clique para ampliar
Natura expôs dados pessoais
Entre as informações expostas, havia credenciais de login para o site da Natura, incluindo senhas com hash e salt — ou seja, convertidas em uma sequência de letras, números e símbolos por um algoritmo. Isso “potencialmente permite que hackers encontrem a senha correta para cada usuário” através de ataques de força bruta, segundo a Safety Detectives.
Além disso, o banco de dados continha mais de 40 mil detalhes de contas MOIP e Wirecard com tokens de acesso. A MOIP, empresa de pagamentos adquirida pela Wirecard, cuida dos pagamentos na plataforma online da Natura.
Clique para ampliar
Estes foram os dados expostos nos dois servidores da Natura:
- nome completo
- nome da mãe
- data de nascimento
- nacionalidade
- gênero
- número de telefone
- endereço físico
- endereço de e-mail
- credenciais de login da Natura.com.br, incluindo senhas com hash
- modelo de e-mail de boas-vindas
- compras anteriores
- detalhes da conta MOIP
- credenciais de API, incluindo senhas não criptografadas
- token de acesso da Wirecard
Natura diz que servidor era de testes
Em nota à imprensa, a Natura afirma que os dados estavam em um servidor de testes que foi “eliminado imediatamente após ser identificado, sem risco de exposição de dados”. Ela diz que comunica imediatamente seus clientes e consultoras quando há risco à segurança.
Esta é a declaração na íntegra:
Em relação ao relatório da empresa Safety Detectives, a Natura esclarece que detectou um ambiente vulnerável em um servidor de teste, que não faz parte de seus sistemas produtivos da companhia. O ambiente foi eliminado imediatamente após ser identificado, sem risco de exposição de dados.
A Natura realiza atualizações frequentes em seus sistemas e tem redobrado o cuidado com a segurança da informação. Falhas de segurança detectadas pela companhia ou por parceiros são submetidas a análise técnica criteriosa. Caso a apuração indique potencial risco a consultoras e consumidores, eles são comunicados imediatamente sobre o ocorrido.
