巴西最大化妝品企業Natura用户個人數據遭泄露
巴西最大的化妝品公司Natura意外地將其客户的個人用户信息數據暴露在互聯網上,而未經身份驗證的任何人都可以訪問。泄露的數據包括有關25萬名Natura客户的個人身份信息帳户登錄cookie以及包含來自服務器和用户日誌的檔案數據。
SafetyDetective研究人員Anurag Sen上個月發現了兩個不受保護的Amazon託管服務器-大小分別為272GB和1.3TB-屬於Natura,其中包含超過1.92億條記錄。
根據與The Hacker News共享的報告 Anurag,暴露的數據包括有關25萬名Natura客户的個人身份信息,他們的帳户登錄cookie以及包含來自服務器和用户日誌的檔案。
令人擔憂的是,泄漏的信息還包括Moip付款帳户詳細信息以及將近40,000個將其與Natura帳户集成在一起的wirecard.com.br用户的訪問令牌。
阿努拉格説:“儘管約有90%的用户是巴西客户,但也有其他國家的人蔘加,包括秘魯的客户。”
“受到破壞的服務器包含網站和移動站點API日誌,從而暴露了所有生產服務器信息。此外,泄漏中提到了幾個'Amazon bucket名稱',包括涉及各方之間正式協議的PDF文檔,” Anurag説。
更準確地説,泄露的客户敏感個人信息包括:
用户姓名出生日期國籍性別登錄密碼用户名和暱稱MOIP帳户詳細信息具有未加密密碼的API憑證最近購買時期電話號碼電子郵件和實際地址訪問令牌除此之外,不受保護的服務器還具有一個秘密的.pem證書文件,其中包含託管Natura網站的EC2 Amazon服務器的密鑰/密碼。
如果被利用,則服務器的密鑰可能會使攻擊者直接將數字撇渣器直接注入公司的官方網站,以實時竊取用户的支付卡詳細信息。
研究人員警告説:“有關後端的公開細節以及服務器密鑰,可以用來進行進一步的攻擊,並允許更深入地滲透到現有系統中。”
SafetyDetective試圖在上個月直接向受影響的公司報告其研究人員的發現,但未能及時收到任何答覆,此後,該公司聯繫了Amazon服務,後者隨後要求該公司立即保護兩台服務器。
在撰寫本文時,尚不清楚惡意參與者在脱機之前是否也受到惡意行為者的訪問,這些未受保護的服務器及其上存儲的敏感數據也是如此。
因此,如果您在Natura擁有一個帳户,建議您保持警惕,防止身份盜用,更改帳户密碼並密切注意支付卡交易中是否有任何可疑活動的跡象。
研究人員補充表示,由於暴露出個人身份信息的實例可能會導致身份盜用和欺詐,因為攻擊者可以將它們用於在各個站點和位置進行身份識別。Natura數據泄漏也增加了網絡釣魚和電話詐騙的風險。