Natura, Una empresa de productos por la cura de la persona y de belleza sufrió de una violación de datos que ha comprometido más de 250 clientes que habían ordenado sus productos desde el sitio oficial.
Los expertos de seguridad de “SafetyDetective” descubrieron dos server que no estaban protegidos con mas de 192 millones de datos miembros de Natura alojados en Amazon desde 272 gigabyte y 1.3 terabyte.
El server que no estaba protegido tenía también un file PEM (privacy enhanced mail) secreto que tenía una password de un otro server de Amazon basado sobre los cloud en los que ha sido alojado el sitio web Natura.
Esta password habría permitido a maliciosos instalar un skimmer en el sitio de la empresa para robar los detalles de la tarjeta de pago de los usuarios en tiempo real.
Se constató que la información de pago de 40.000 clientes de una empresa de terceros también se vio afectada por la violación de datos.
Aunque la violación de datos se descubrió por primera vez el 12 de abril de 2020, los investigadores de safetydetective afirmaron que podían confirmar que cientos de gigabytes de información se habían presentado desde el 26 de marzo de 2020.
Según los expertos, los datos presentados incluyen información de identificación personal (PII) de los clientes como nombre, apellido de soltera de la madre, nacionalidad, género, contraseña de acceso con hash, nombre de usuario y apodo. Además, otros datos importantes que se han expuesto en el accidente informático incluyen, detalles de la cuenta, credenciales API con contraseñas no encriptadas, compras recientes, números de teléfono, correos electrónicos y direcciones físicas, un token de acceso para los sistemas de pago electrónicos, las cookies de acceso a la cuenta, junto con ficheros que contengan registros de los servidores.
FUENTE: FEDERPRIVACY