Investigadores descubrieron dos servidores alojados en Amazon expuestos al público, pertenecientes a la compañía de cosméticos de origen brasileña Natura, que contenían 272 gigabytes y 1.3 terabytes respectivamente, con aproximadamente 192 millones de registros con datos personales y financieros perteneciente a clientes.
La información, accesible al público por error, incluía información personalmente identificable así como detalles de las cuentas de pago y tokens de acceso de unos 40.000 clientes de Wirecard, compañía que adquirió hace un tiempo atrás a Moip, un proveedor de servicios de pago en línea popular en Brasil.
Si bien el 90% de los datos expuestos pertenecen a clientes de Brasil, los investigadores de SafetyDetective, responsables del hallazgo, afirman que también hay información de clientes de otros países, como Perú.
Concretamente, la información personal expuesta incluía: nombres completos, nombre completo de la madre, fecha de nacimiento, nacionalidad, género, contraseñas de inicio de sesión hasheadas con salto para el sitio web de la compañía, nombres de usuario, detalles de cuentas Moip, credenciales de la API con contraseñas sin cifrado, compras recientes, números de teléfono, dirección física y de correo electrónico y tokens de acceso para el sitio de Wirecard.
Por si fuera poco, dentro de la información expuesta había un certificado .pem que contenía la llave y contraseña para el servidor de Amazon en el que estaba alojado el sitio web de Natura.
El hallazgo de estos servidores expuestos ocurrió el 12 de abril y fue reportado a la compañía, quien corrigió el fallo. Por lo tanto, la información ya no está accesible de manera pública. Si bien al momento de realizar la publicación se desconoce si durante el tiempo que estuvo expuesta la información la misma llegó a manos de actores maliciosos, se recomienda estar atento a cualquier movimiento sospechoso en sus cuentas.