Natura & Co集团的大规模安全故障将两个配置错误的AWS数据库暴露给公众长达数周。

一家位于巴西圣保罗的数十亿美元的公司被发现泄露其客户高度敏感的个人和财务数据。更糟糕的是，数据驻留在两个配置错误的数据库上，任何人都可以在不进行任何安全身份验证的情况下访问这两个数据库。

在世界各地被称为Natura;讨论中的公司为Natura & Co集团所有，这是一家全球个人护理化妆品集团，在全球73个国家都有代表。该集团还拥有伊索、美体小铺和雅芳等美容巨头。

安全侦探公司的研究人员发现，这两个数据库都包含超过1.92亿份记录。一个数据库托管了1.3TB的记录，而第二个数据库有272GB的数据。

在与Hackread.com网站分享的一份报告中，研究人员透露，超过25万名Natura用户使用该公司的网站购物。此外，40000名客户的Moip(通过internet协议进行移动通信)帐户详细信息属于带有访问令牌的Wirecard，也没有任何安全协议。

研究人员的深入分析表明，这两个数据库都暴露了以下信息:

性别

全名

国籍

出生日期

电话号码

以前的购买

MOIP帐户详细信息

母亲的婚前姓

欢迎电子邮件模板

用户名和昵称

电子邮件及实际地址

wirecard.com.br的访问令牌

API凭证，包括未加密的密码

br登录凭证包括散列密码

然而，它并没有在这里结束。研究人员还确定了与公司网络基础设施相关的机密信息，如。pem证书密钥和“客户机密”。

“泄漏的服务器包含网站和移动站点api日志，从而暴露所有生产服务器信息。此外，泄露文件中还提到了几个“亚马逊桶名”，包括提到各方正式协议的PDF文件，”研究人员分析说。

尽管90%的受害者都是巴西人，但好消息是，这两个数据库都是在研究人员直接联系亚马逊之后被保护起来的，因为Natura的态度并不严肃，没有及时回复研究人员，并将数据暴露了数周。

最初，这些数据是在2020年4月12日被发现的，但研究人员认为，它是在2020年3月26日被曝光的。

如果您是Natura的客户，请与本公司联系并查询违约情况。此外，对于黑客来说，这是一个理想的情况，他们可能会利用窃取的电子邮件地址进行钓鱼诈骗，并假装是公司的代表。

因此，小心恶意电邮，不要点击电邮中的任何连结，也不要把你的个人资料放在电邮中回应。这些电子邮件可以询问全名、支付卡详情、PIN码、密码、实际地址、电话号码、驾照、护照或国民保险号码。

然而，Natura的数据库向公众暴露了数周，这一事实足以让人想象，一旦有恶意的第三方染指该数据库，将会造成怎样的损失。正如最近所看到的，网络犯罪分子一直在扫描暴露的数据库，窃取数据并在黑暗的网络市场上出售，或者在黑客论坛上免费下载泄露数据。

上个月就曾报道过一起这样的案件，有4200万伊朗人的个人信息和电话号码被泄露在Elasticsearch服务器上，几天之内就被黑网络和黑客论坛出售。

在另一个案例中，Hackread.com报道称，一个配置错误的Elasticsearch服务器在2019年12月泄露了2.67亿Facebook用户的个人信息。一年后的2020年4月，同样的数据库在一个黑客论坛上以600美元(549 - 492英镑)的价格出售。

（来源：HackRead）