lunes, 25 de mayo de 2020

Natura ha expuesto datos críticos en la red



     Natura, una compañía de cosméticos de Brasil, filtró accidentalmente una base de datos de información personal y de pago de sus clientes accesible públicamente a la que cualquier persona podría haber accedido sin autenticación.

Un investigador de SafetyDetective, descubrió el mes pasado dos servidores alojados en Amazon sin protección, con 272GB y 1.3TB de tamaño, pertenecientes a Natura que constaban de más de 192 millones de registros.

Según el informe, los datos expuestos incluyen información de identificación personal más de 250.000 clientes de Natura, las cookies de inicio de sesión de su cuenta, junto con los archivos que contienen registros de los servidores y usuarios.

La información personal confidencial filtrada de los clientes incluye su nombre completo, fecha de nacimiento, hashed contraseñas, detalles de la cuenta MOIP, credenciales de API con contraseñas sin cifrar, su número de teléfono y correo electrónico.

Además de esto, el servidor desprotegido también tenía un archivo secreto de certificado .PEM que contenía la clave/contraseña para el servidor EC2 Amazon donde está alojado el sitio web de Natura.

Si se explota, la clave del servidor podría haber permitido a los atacantes inyectar directamente un skimmer digital directamente en el sitio web oficial de la compañía para robar los datos de la tarjeta de pago de los usuarios en tiempo real.

.

No hay comentarios:

Publicar un comentario