巴西最大的化妆品品牌Natura公开了其用户的个人详细信息

发布时间:2020-05-21

巴西最大的化妆品公司Natura意外地将其客户的个人和与付款相关的信息的数百兆字节公开存储在网上,而未经身份验证的任何人都可以访问。

SafetyDetective研究人员Anurag Sen上个月发现了两个不受保护的Amazon托管服务器-大小分别为272GB和1.3TB-属于Natura,其中包含超过1.92亿条记录。
根据与The Hacker News共享的报告 Anurag,暴露的数据包括有关25万名Natura客户的个人身份信息,他们的帐户登录cookie以及包含来自服务器和用户日志的档案。
令人担忧的是,泄漏的信息还包括Moip付款帐户详细信息以及将近40,000个将其与Natura帐户集成在一起的wirecard.com.br用户的访问令牌。

“受感染的服务器包含网站和移动站点API日志,从而暴露了所有生产服务器信息。此外,泄漏中提到了多个'Amazon bucket名称',包括涉及各方之间正式协议的PDF文档,” Anurag说


全名
母亲的娘家姓
出生日期
国籍
性别
带有盐的哈希登录密码
用户名和昵称
MOIP帐户详细信息
具有未加密密码的API凭证
最近购买
电话号码
电子邮件和实际地址
用于wirecard.com.br的访问令牌
除此之外,不受保护的服务器还具有一个秘密的.pem证书文件,其中包含托管Natura网站的EC2 Amazon服务器的密钥/密码。
如果被利用,则服务器的密钥可能会使攻击者直接将数字撇渣器直接注入公司的官方网站,以实时窃取用户的支付卡详细信息。
SafetyDetective试图在上个月直接向受影响的公司报告其研究人员的发现,但未能及时收到任何答复,此后,该公司联系了Amazon服务,后者随后要求该公司立即保护两台服务器。
在撰写本文时,尚不清楚恶意参与者在脱机之前是否也受到恶意行为者的访问,这些未受保护的服务器及其上存储的敏感数据也是如此。
因此,如果您在Natura拥有一个帐户,建议您保持警惕,防止身份盗用,更改帐户密码并密切注意支付卡交易中是否有任何可疑活动的迹象。
研究人员补充说:“由于暴露出个人身份信息的实例可能会导致身份盗用和欺诈,因为攻击者可以将它们用于在各个站点和位置进行身份识别。” “ Natura数据泄漏也增加了网络钓鱼和电话诈骗的风险。”


阿努拉格说:“尽管约有90%的用户是巴西客户,但也有其他国家的人参加,包括秘鲁的客户。”


更准确地说,泄露的客户敏感个人信息包括:

研究人员警告说:“有关后端的公开细节以及服务器密钥,可以用来进行进一步的攻击,并允许更深入地渗透到现有系统中。”


中安威士:保护核心数据,捍卫网络安全!

来源:外刊



上一条:Interserve英国国防承包商遭到黑客入侵,最多暴露了10万名过去和现在的员工详细信息 下一条:英国航空公司EasyJet遭受数据泄露,暴露了900万客户的数据