Uma equipe de segurança da Safety Detectives descobriu dois servidores expostos da Natura com 272 GB e 1,3 TB. Hospedados na Amazon, nos Estados Unidos, eles foram descobertos por equipe liderada pelo pesquisador Anurag Sen.
A equipe detectou o vazamento do primeiro servidor em 12 abril de 2020, mas pôde confirmar que em 26 de março “centenas de gigabytes de informações estavam disponíveis”.
Segundo a publicação, dados de identificação pessoal de mais de 250 mil clientes, cookies de login de contas, arquivos de registros dos servidores e outros podem ter sido vazados.
“Cerca de 90% dos usuários [afetados] eram clientes brasileiros, embora outras nacionalidades também estivessem presentes, incluindo clientes do Peru”, afirmou Anurag.
Ele cita que o servidor comprometido “continha logs de API de sites e sites móveis, expondo todas as informações do servidor de produção”. “Além disso, vários ‘nomes de buckets da Amazon’ foram mencionados no vazamento, incluindo documentos em PDF referentes a acordos formais entre várias partes”, disse ele.
Em artigo, a Safety Detectives informou que contatou a Natura imediatamente sobre o vazamento. A empresa teria protegido o servidor e todos os dados que uma vez ficaram expostos. Pouco depois, Anurag encontrou um segundo servidor da Natura, este com 1,3 TB de dados, também exposto com informações semelhantes ao anterior.
De acordo com o pesquisador, a Natura foi contatada assim que o segundo servidor comprometido foi descoberto, mas ninguém respondeu. Depois, ao entrar em contato com a Amazon, o segundo servidor também foi protegido.
O que foi vazado?
Somente no primeiro servidor, um total de 192 milhões de registros foram encontrados. Os pesquisadores dizem que o segundo volume não foi inteiramente analisado pois contém dados muito parecidos com os do primeiro.
Eles citam que estes dados dos clientes foram encontrados:
- Nome completo
- Nome de solteira da mãe
- Data de nascimento
- Nacionalidade
- Gênero
- Credenciais de login do ‘natura.com.br’, incluindo senhas com hash
- Modelo de email de boas-vindas
- Nome de usuário e apelido
- Detalhes da conta MOIP
- Credenciais da API, incluindo senhas não criptografadas
- Compras anteriores
- Número de telefone
- E-mail e endereços físicos
- Token de acesso para o ‘wirecard.com.br’
Não ficou claro, neste momento, se apenas clientes da Natura podem ter sido afetados, ou também consultoras. No banco de dados, também foram encontrados mais de 40 mil detalhes da Wirecard, terceirizada de pagamentos da Natura.
O que diz a Natura:
O TecMundo entrou em contato com a Natura para buscar um posicionamento oficial sobre o caso. A companhia esclareceu que o servidor detectado era de teste e que não há risco de vazamento de dados.
“Em relação ao relatório da empresa Safety Detectives, a Natura esclarece que detectou um ambiente vulnerável em um servidor de teste, que não faz parte de seus sistemas produtivos da companhia. O ambiente foi eliminado imediatamente após ser identificado, sem risco de exposição de dados.”
A empresa também comentou que “realiza atualizações frequentes em seus sistemas e tem redobrado o cuidado com a segurança da informação”.
Ela citou que falhas de segurança “são submetidas a análise técnica criteriosa”. “Caso a apuração indique potencial risco a consultoras e consumidores, eles são comunicados imediatamente sobre o ocorrido”, disse a companhia em comunicado.
TecMundo