Multinacional da área da construção expõe dados de clientes globais
Por Felipe Demartini | Editado por Claudio Yuge | 10 de Março de 2023 às 21h00
Uma brecha nos servidores da Cosentino, uma multinacional que fabrica superfícies e pedras para projetos de arquitetura e design doméstico, expôs os dados de clientes da companhia em todo o mundo. A falha aparecia no sistema de emissão de certificados de garantia, que podia ser manipulado de maneira simples para revelar as informações pessoais de todos os consumidores de produtos da empresa, como nomes completos, telefones, e-mails e endereços.
O problema decorria de uma brecha simples na configuração da infraestrutura da marca, que tem foco em sustentabilidade e fornece pedras e outros produtos para serem usados em bancadas, mobiliários, revestimentos e fachadas. Um cadastro no site da empresa é necessário para obtenção de um certificado de garantia de 25 anos contra quebra, lascas e defeitos de fabricação, com informações dos clientes e do imóvel em que as peças estão instaladas.
De acordo com os especialistas em segurança do Cybernews, que revelaram a abertura, era aí que estava o problema. O documento era emitido em um PDF, cuja URL poderia ser manipulada para troca dos dados de identificação do cliente; assim, de posse de um único link, era possível acessar os certificados de garantia de todos os outros consumidores que tivessem dados presentes no servidor, sem nenhum tipo de verificação de identidade.
Enquanto os certificados eram acessados de forma única, a partir da manipulação de um ID de cliente disponível na URL, bastaria um script simples para que todos os dados fossem coletados de forma sequencial e automática. O resultado seria a composição de um banco de informações dos clientes da Cosentino, uma ideia que se torna ainda mais grave quando se pensa no foco da marca em projetos de alto padrão.
Além da exposição generalizada, que poderia resultar no vazamento de dados de, virtualmente, toda a base de clientes da Cosentino, os documentos também traziam detalhes sobre revendedores dos produtos e sobre o próprio material aplicado nos lugares. De posse de tais informações, criminosos poderiam realizar ataques de phishing se passando pela fabricante ou suas parceiras comerciais, de forma a obter mais detalhes pessoais dos clientes, além de informações financeiras ou pagamentos indevidos.
De acordo com o Cybernews, a Cosentino foi contatada e fechou o acesso sem autenticação aos certificados. Entretanto, não é possível saber se o volume foi acessado e baixado por terceiros mal-intencionados para uso em ataques. Bancos de dados, entretanto, não foram encontrados à venda ou publicados em fóruns cibercriminosos da superfície da web.
O Brasil é um dos principais mercados de atuação da Cosentino, que faz negócios em mais de 80 países e possui uma fábrica em nosso país. O Canaltech entrou em contato com a empresa em busca de mais detalhes sobre a exposição, principalmente sobre a presença de brasileiros em meio aos dados comprometidos, mas não havia recebido resposta até a publicação.
Fonte: Cybernews