021-51079200

易控网盾数据防泄密系统

专注文件加密15年,从源头防止数据泄密,打造安全网络环境

巴西最大化妆品企业Natura用户个人数据遭泄露

巴西最大的化妆品公司Natura意外地将其客户的个人用户信息数据暴露在互联网上,而未经身份验证的任何人都可以访问。泄露的数据包括有关25万名Natura客户的个人身份信息帐户登录cookie以及包含来自服务器和用户日志的档案数据。

《巴西最大化妆品企业Natura用户个人数据遭泄露》

SafetyDetective研究人员Anurag Sen上个月发现了两个不受保护的Amazon托管服务器-大小分别为272GB和1.3TB-属于Natura,其中包含超过1.92亿条记录。

根据与The Hacker News共享的报告 Anurag,暴露的数据包括有关25万名Natura客户的个人身份信息,他们的帐户登录cookie以及包含来自服务器和用户日志的档案。

令人担忧的是,泄漏的信息还包括Moip付款帐户详细信息以及将近40,000个将其与Natura帐户集成在一起的wirecard.com.br用户的访问令牌。

阿努拉格说:“尽管约有90%的用户是巴西客户,但也有其他国家的人参加,包括秘鲁的客户。”

“受到破坏的服务器包含网站和移动站点API日志,从而暴露了所有生产服务器信息。此外,泄漏中提到了几个'Amazon bucket名称',包括涉及各方之间正式协议的PDF文档,” Anurag说。

《巴西最大化妆品企业Natura用户个人数据遭泄露》

更准确地说,泄露的客户敏感个人信息包括:

  • 用户姓名
  • 出生日期
  • 国籍
  • 性别
  • 登录密码
  • 用户名和昵称
  • MOIP帐户详细信息
  • 具有未加密密码的API凭证
  • 最近购买时期
  • 电话号码
  • 电子邮件和实际地址
  • 访问令牌

除此之外,不受保护的服务器还具有一个秘密的.pem证书文件,其中包含托管Natura网站的EC2 Amazon服务器的密钥/密码。

如果被利用,则服务器的密钥可能会使攻击者直接将数字撇渣器直接注入公司的官方网站,以实时窃取用户的支付卡详细信息。

研究人员警告说:“有关后端的公开细节以及服务器密钥,可以用来进行进一步的攻击,并允许更深入地渗透到现有系统中。”

SafetyDetective试图在上个月直接向受影响的公司报告其研究人员的发现,但未能及时收到任何答复,此后,该公司联系了Amazon服务,后者随后要求该公司立即保护两台服务器。

在撰写本文时,尚不清楚恶意参与者在脱机之前是否也受到恶意行为者的访问,这些未受保护的服务器及其上存储的敏感数据也是如此。

因此,如果您在Natura拥有一个帐户,建议您保持警惕,防止身份盗用,更改帐户密码并密切注意支付卡交易中是否有任何可疑活动的迹象。

研究人员补充表示,由于暴露出个人身份信息的实例可能会导致身份盗用和欺诈,因为攻击者可以将它们用于在各个站点和位置进行身份识别。Natura数据泄漏也增加了网络钓鱼和电话诈骗的风险。

点赞