A Natura, empresa brasileira constantemente considerada como a maior companhia do ramo de cosméticos do país, sofreu um vazamento de dados que acabou expondo informações sensíveis de aproximadamente 250 mil clientes. A exposição indevida foi identificada pelo pesquisador Anurag Sen, da SafetyDetective, que encontrou dois servidores configurados com acesso público — um de 272 GB e outro de absurdos 1,3 TB. Dentro dos ambientes, Anurag encontrou uma série de registros não apenas de consumidores do Brasil, mas também do Peru e outros países onde a marca atua.
Dentro das informações pessoais expostas, temos nome completo, data de nascimento, nacionalidade, gênero, senhas em hash, nome de usuário, detalhes de contas do MOIP, lista de compras recentes, números de telefone, email, endereço completo e tokens de acesso ao WireCard. Com tantos dados em mãos, seria fácil para qualquer criminoso aplicar golpes altamente customizados contra as vítimas personificando a Natura.
Ademais, de acordo com a SafetyDetective, os servidores também contavam com informações sensíveis relacionadas com a operação da própria Natura, incluindo PDFs corporativos e um certificado (no formato PEM) contendo a senha para o servidor Amazon EC2 no qual o site da marca é hospedado. Dessa forma, um atacante poderia muito bem injetar um script malicioso para roubar dados de formulários (incluindo cartões de crédito) dentro da loja virtual da companhia, ressalta os pesquisadores.
Anurag entrou em contato com a Natura, mas não recebeu resposta; a corporação só protegeu os servidores depois que o especialista acionou a Amazon, que, por sua vez, notificou a marca para que ela adotasse as devidas medidas de segurança. Porém, é impossível dizer quantas pessoas tiveram acesso aos ambientes vulneráveis até então.
A resposta da companhia
A The Hack entrou em contato com a Natura a respeito do incidente e a companhia nos enviou o seguinte posicionamento oficial:
Em relação ao relatório da empresa Safety Detectives, a Natura esclarece que detectou um ambiente vulnerável em um servidor de teste, que não faz parte de seus sistemas produtivos da companhia. O ambiente foi eliminado imediatamente após ser identificado, sem risco de exposição de dados.
A Natura realiza atualizações frequentes em seus sistemas e tem redobrado o cuidado com a segurança da informação. Falhas de segurança detectadas pela companhia ou por parceiros são submetidas a análise técnica criteriosa. Caso a apuração indique potencial risco a consultoras e consumidores, eles são comunicados imediatamente sobre o ocorrido.
A Natura reafirma assim o seu compromisso com a ética e a transparência.
Fonte: The Hacker News