Natura filtró 192 millones de registros con datos de pago de sus clientes

Si bien el 90% de los datos expuestos pertenecen a clientes de Brasil, los investigadores de Safety Detectives, responsables del hallazgo, afirman que también hay información de clientes de otros países, como Perú. Los servidores que se encontraban mal configurados, dejaron expuestos registros con información personal y financiera de sus clientes, como nombres completos, fecha […]

Si bien el 90% de los datos expuestos pertenecen a clientes de Brasil, los investigadores de Safety Detectives, responsables del hallazgo, afirman que también hay información de clientes de otros países, como Perú.

Los servidores que se encontraban mal configurados, dejaron expuestos registros con información personal y financiera de sus clientes, como nombres completos, fecha de nacimiento, nacionalidad, género, contraseñas de inicio de sesión hasheadas con el sitio web de la compañía,
nombres de usuario, detalles de cuentas Moip, credenciales de la API con contraseñas sin cifrado, compras recientes, números de teléfono, dirección física y de correo electrónico, y tokens de acceso para el sitio de Wirecard.

Según los investigadores de Safety Detectives, fueron dos las bases de datos afectadas, las cuales contenían más de 192 millones de registros. Una base de datos alojó registros por valor de 1.3TB, mientras que la segunda base de datos tenía 272GB de datos.

Los investigadores revelaron que más de 250.000 clientes que utilizaron la página web de Natura fueron afectados por la publicación de sus datos. Junto con esto se suma, los 40,000 clientes de Wirecard que vieron expuestas sus cuentas de pago y tokens de acceso.

Información expuesta al cien por ciento

Expertos en ciberseguridad confirmaron que la brecha de datos también comprometió detalles confidenciales sobre la infraestructura de TI de la compañía. “El servidor comprometido contenía registros de API del sitio web de Natura, por lo que se expuso toda la información del servidor de
producción”. Además, en la filtración también se expusieron los nombres de algunos buckets de Amazon, que almacenan PDFs relacionados con acuerdos entre la compañía y otras partes.

Cabe destacar que los investigadores se pusieron en contacto con Amazon directamente, quienes tomaron el control de los servidores, pues Natura no respondió a la advertencia hecha por los especialistas a tiempo y dejó los datos expuesto por semanas.

Originalmente, los datos se descubrieron el 12 de abril de 2020, pero los investigadores creen que estuvieron expuestos desde el 26 de marzo de 2020. Sin embargo, el hecho de que Natura haya expuesto su base de datos al público durante semanas es suficiente para imaginar el daño que se
avecina en caso de que un tercero con intenciones maliciosas lo tenga en sus manos.

El Instituto Internacional de Seguridad Cibernética (IICS) recomendó a los clientes de Natura consultar a la compañía sobre las medidas que se están tomando para atender este asunto pues, debido a la naturaleza de la información comprometida, podrían verse expuestos a campañas de
phishing.