巴西化妆品品牌Natura&Co的百万客户中有四分之一遭受数据泄露

巴西领先的在线零售商之一Natura&Co已获悉其网站https://www.natura.com.br中存在重大数据泄漏

在Natura不知情的情况下,超过25万名以前从该网站订购了美容产品的客户将其个人信息公开了。与第三方公司Wirecard相关的40,000个客户的付款信息也公开发布了超过2周的时间。

谁是Natura?

Natura&Co是一家巴西香水/化妆品公司,总部位于圣保罗,其在线销售业务遍布全球。该公司共有40,000多名员工,每年创造约100亿美元的收入。母公司还拥有NaturaCosméticos,Aesop,The Body Shop和Avon,其销售收入遍及全球各大洲的73个国家。

目前由Anurag Sen领导的Safety Detectives的安全团队在位于美国的272 GB亚马逊托管服务器上发现了重大数据泄漏,包括各种个人信息。

奇怪的是,自从发现数据泄漏并通知Natura以来,根据服务器日志,数据泄漏的大小已从272GB减少到27.2GB-这有力地表明了有意为掩盖泄漏严重性的不当行为。例如,一个恶意的黑客删除了精确数量的记录以隐藏其行为。

此外,根据服务器日志,数据泄露的规模在几天的过程中有所变化,最新估计为69GB。

大约90%的用户是巴西客户,尽管也有其他国家的人参加,包括来自秘鲁的客户。

谁是Natura?

尽管安全侦探安全小组能够确认早在2020年3月26日就可获得数百GB的信息,但数据泄漏最早是在2020年4月12日被发现的。

立即联系Natura,并通知其管理人员有关泄漏的信息,包括在其服务器上发现的漏洞的潜在后果。Natura保护服务器安全并从公众视野中删除所有私有数据后,该报告现已发布。

在发布此报告的前几天,虽然我们确认服务器已经安全,但Anurag发现了Natura拥有的新的泄漏服务器。我们一发现就试图与该公司联系,但还是没有人回复我们。我们(再次)与Amazon联系,以便他们可以通知其客户,几天后,服务器得到了保护。

在这几天中,暴露了一个更大的服务器(1.3TB),从而泄漏了与前一个类似的数据。除了找到的第一台服务器中的内容外,我们还可以查看其用户的浏览器cookie以及一些其他信息。我们没有花太多时间研究这台服务器,因为它看起来与以前的服务器非常相似,并且所有者已经得到确认。

什么泄漏了?

泄漏的记录数1.92亿条记录,包括个人身份信息(PII)
受影响的客户数量除40,000wirecard.com.br之外,至少还有250,000带有访问令牌的Moip帐户详细信息
服务器大小272 GB
服务器位置美国
公司所在地巴西

受感染的服务器包含网站和移动站点api日志,从而公开了所有生产服务器信息。此外,泄漏中提到了几个“亚马逊存储桶名称”,其中包括涉及各方之间正式协议的PDF文档。

总体而言,易受攻击的数据库包含超过270GB的数据和超过1.92亿条记录。

更具体地说,泄露了以下数据点:

  • 全名
  • 母亲的娘家姓
  • 出生日期
  • 国籍
  • 性别
  • Natura.com.br登录凭证,包括哈希密码
  • 欢迎电子邮件模板
  • 用户名和昵称
  • MOIP帐户详细信息
  • Api凭证,包括未加密的密码
  • 以前的购买
  • 电话号码
  • 电子邮件和实际地址
  • 用于wirecard.com.br的访问令牌
什么泄漏了?

公开的信息包含超过250,000个客户的登录凭据,包括所谓的“含盐散列密码”。该信息可能使黑客通过强行强制使用哈希并获得对客户帐户的完全访问权限,从而为每个用户找到正确的密码。

该数据库还包含超过40,000个wirecard.com.br Moip帐户详细信息以及访问令牌。

什么泄漏了?

wirecard.com.br –(MOIP)凭证与访问令牌一起公开。

此外,还发现了内部技术机密详细信息,例如.pem证书密钥和“客户端机密”,并且可以公开访问。

什么泄漏了?

第三方商家Wirecard

Natura的数据库与第三方公司MOIP / wirecard.com.br建立了贸易关系。MOIP/ wirecard.com.br促进了Natura的在线支付。

Wirecard于1999年开始在欧洲运营,自2017年以来一直在巴西运营。2016年,MOIP成为了全球支付公司Wirecard的一部分。

2018年,该公司在法兰克福证券交易所的估值超过200亿欧元,使其成为该国30家最大的上市公司之一。

从服务器上发现的信息中,可以看到交货详细信息,例如购买金额,购物车ID和购物车详细信息,尽管关联的个人详细信息与该信息不匹配。

第三方商家Wirecard

数据泄漏显示以前的购买和购物车信息,包括IP地址

第三方商家Wirecard

有关购买产品的详细信息和订单详细信息

数据泄露影响

在不安全的服务器上显示包括密码在内的个人身份信息绝非明智之举,并可能导致严重的网络安全后果,包括财务和身份欺诈,网络钓鱼攻击和勒索软件漏洞。

Natura的数据库包含客户的实际地址,电话号码和个人信息,包括凭据(例如母亲的娘家姓),这些可以被邪恶的黑客利用,从而对受到泄漏影响的人员造成严重的财务,社会和声誉损失。

一个示例是使用母亲的娘家姓来回答安全问题,并可能访问电子邮件帐户和云服务,这些电子邮件帐户和云服务又可能被恶意用来获得对某人私人信息的更深层访问。或者,可以使用欢迎电子邮件模板来发起网络钓鱼诈骗,借此,用户在源自Natura的电子邮件的错误印象下,单击黑客发送的链接。

此外,公开的.pem文件包含很大的EC2 Amazon服务器密钥/密码,因此存在很大的风险。

暴露个人身份信息的实例可能会导致身份盗用和欺诈,因为攻击者可以在各种站点和位置使用它们来进行身份识别。

同样,暴露的密码哈希和盐进一步损害了私有数据的安全性,因为拥有盐简化了攻击者的入侵。盐是附加数据,用于加密密码,因此即使暴露了哈希值,也更难以泄露密码。

Natura数据泄漏也增加了网络钓鱼和电话诈骗的风险。私人详细信息可用于建立信任,最终目标是欺骗用户并欺骗用户提供进一步的信息,包括银行和安全信息。

泄漏的数据可用于提取其他敏感信息,并识别欺诈和以“假旗”为借口进行的犯罪活动。

可以利用有关后端的公开细节以及服务器密钥来进行进一步的攻击,并允许更深入地渗透到现有系统中。

防止数据泄露

如何防止您的个人信息暴露在数据泄漏中,并确保您不遭受攻击(网络或现实世界)(如果被泄漏)?

  • 谨慎提供什么信息以及向谁提供
  • 检查您所访问的网站是否安全(查找https和/或关闭的锁)
  • 只说出自己认为对您不利的东西(避免使用政府身份证号码,个人偏好,如果在公开场合使用,可能会给您带来麻烦)
  •  通过组合字母,数字和符号来创建安全密码
  • 除非您确定发件人是他们所代表的合法身份,否则请不要单击电子邮件中的链接。
  • 仔细检查所有社交媒体帐户(甚至不再使用的帐户),以确保只有您信任的人才能看到您帖子的隐私和个人详细信息
  • 避免在不安全的WiFi网络上使用信用卡信息并输入密码
  • 了解更多有关什么构成网络犯罪,防止网络钓鱼攻击的最佳技巧以及如何避免勒索软件的更多信息

信息来源:https://www.safetydetectives.com/blog/natura-leak-report/