Natura tinha brecha de segurança que expôs mais de 250 mil clientes

Dados pessoais e sensíveis de mais de 250 mil clientes da Natura foram expostos na internet a partir de uma falha em dois servidores da empresa de cosméticos, que está entre as mais reconhecidas do segmento no Brasil. Além de registros identificáveis dos clientes, os volumes também traziam 40 mil tokens de acesso ao Wirecard, sistema de gestão financeira utilizado pela empresa em seu e-commerce, junto com informações de seus usuários, entre consumidores e vendedores de produtos da marca.

Na soma, os dois servidores continham mais de 1,3 TB de dados e 192 milhões de registros sem as devidas proteções de segurança. Dados que poderiam ser usados para identificar usuários diretamente, como nomes completos, endereços, datas de nascimento, gênero, números de telefone e e-mails apareciam ao lado de informações do próprio sistema, como nomes de usuário, senhas criptografadas e cookies de acesso ao site da marca, entre outros.

Já no caso da brecha referente aos dados do Wirecard, as informações revelam histórico de compras, valores pagos e números de IPs utilizados para transações, assim como endereços de e-mail, nomes, datas de nascimento e documentos de identificação. Aqui, também é possível notar dados que pertencem a representantes da Natura, bem como consumidores cujos dados podem ou não estarem entre os 250 mil clientes expostos pela brecha citada anteriormente.

A descoberta foi feita por um time de pesquisadores da Safety Detectives, liderado por Anurag Sen. A empresa atua no mercado de antivírus e também possui um laboratório de estudos em segurança digital, realizando varreduras online em busca de servidores desprotegidos e informações pessoais abertas ao público, quando não deveriam estar. Foi em uma dessas análises que os especialistas encontraram o servidor Elasticsearch pertencente à Natura, hospedado na plataforma de cloud computing da Amazon.

De acordo com o relatório publicado pela empresa, a brecha foi descoberta no dia 12 de abril, com os dados estando desprotegidos pelo menos desde 26 de março. 90% dos usuários atingidos são brasileiros, mas a Safety Detectives também informou ter localizado informações pertencentes a estrangeiros, com o Peru sendo o segundo país em número de dados expostos. As informações disponíveis eram recentes, com registros a partir de abril de 2020.

O achado ainda aconteceu em etapas, com a Safety Detectives primeiro localizando um servidor com 272 GB de informações para, cerca de uma semana depois, encontrar um volume ainda maior, com 1,3 TB de dados. Entretanto, de acordo com os especialistas, as informações de clientes e revendedores expostas eram semelhantes, com a segunda brecha também contendo dados adicionais da empresa e cookies registrados pelos navegadores dos usuários, que não foram analisados pelos pesquisadores.

Além disso, os servidores continham algumas informações internas da própria Natura, como APIs de integração de terceiros ao site e aplicativo do e-commerce da empresa, assim como nomes dados a buckets usados pelos programadores na infraestrutura da Amazon. A identidade visual de comunicações feitas pela empresa por e-mail, certificados e documentos em PDF também podiam ser encontrados no volume exposto também, senhas de acesso aos servidores de cloud computing que estavam desprotegidos.

Em seu relatório, a Safety Detectives afirma ter tentado comunicar a Natura sobre o caso, mas não recebeu resposta. No momento em que esta reportagem é escrita, os dados não estão mais expostos, com o fechamento dos servidores tendo sido obtido após contato dos especialistas em segurança com a Amazon, que possui um sistema de notificação aos clientes sempre que falhas de segurança são denunciadas por terceiros.

Em comunicado enviado ao Canaltech, a Natura informou que a vulnerabilidade aconteceu em um servidor de testes, que não faz parte de seus sistemas de produção. De acordo com a empresa, a brecha foi fechada assim que identificada e não houve vazamento dos dados contidos na infraestrutura — em caso de risco desse tipo, a marca entraria em contato com consumidores e consultoras para os informar sobre a situação.

Confira a íntegra da declaração da empresa:

"Em relação ao relatório da empresa Safety Detectives, a Natura esclarece que detectou um ambiente vulnerável em um servidor de teste, que não faz parte de seus sistemas produtivos da companhia. O ambiente foi eliminado imediatamente após ser identificado, sem risco de exposição de dados. A Natura realiza atualizações frequentes em seus sistemas e tem redobrado o cuidado com a segurança da informação. Falhas de segurança detectadas pela companhia ou por parceiros são submetidas a análise técnica criteriosa. Caso a apuração indique potencial risco a consultoras e consumidores, eles são comunicados imediatamente sobre o ocorrido. A Natura reafirma assim o seu compromisso com a ética e a transparência".

Golpes e fraudes

A Safety Detectives destaca, em seu relatório, a gravidade da exposição no que toca a segurança dos usuários atingidos, mas chama a atenção para alguns pontos específicos do vazamento. O mais crítico deles é o fato de as senhas criptografadas, em hash, estarem disponíveis ao lado de seus respectivos salts, dados que permitiriam a realização de tentativas de força-bruta para exposição das credenciais de acesso.

Além disso, os especialistas destacam a presença de informações confidenciais da própria Natura, que não deveriam estar disponíveis publicamente, bem como os e-mails enviados por seus sistemas aos clientes e representantes, que ajudariam a dar maior aparência de legitimidade a eventuais ataques de phishing contra as vítimas. Este é sempre o caminho escolhido por cibercriminosos em vulnerabilidades desse tipo, mas aqui vale citar que a empresa negou o acesso de terceiros maliciosos aos dados que estavam vulneráveis em seus servidores.

Ainda assim, a recomendação para quem eventualmente foi atingido pelo problema é trocar as senhas de e-mail, redes sociais e outros serviços cujas credenciais sejam semelhantes às utilizadas no ambiente da Natura. Como o vazamento também incluiu informações financeiras, vale a pena prestar atenção nas faturas do cartão de crédito em busca de compras não-autorizadas.

O ideal é desconfiar de comunicações que cheguem por e-mail ou mensageiros instantâneos em nome da Natura ou empresas associadas a ela, como Avon, Body Shop e Aesop, principalmente quando elas envolverem cobranças ou uma necessidade de atualizações cadastrais — o mesmo também vale para ligações telefônicas a partir de tais companhias. Na dúvida, entre em contato diretamente com a empresa responsável pelo alerta e jamais clique em links ou abra arquivos anexos que cheguem por esses meios.

Fonte: Safety Detectives