Natura化妆品数据泄露事件曝光1.92亿条数据记录

2020-05-21 00:18:10

最新的大规模数据泄露事件涉及巴西客户1.92亿条数据记录的个人身份信息。美国最大的化妆品公司之一Natura有一个泄露的数据库,托管在两个没有保护的美国亚马逊服务器上。

泄露的数据库是由安全侦探发现的。根据这份报告,25万名之前在Natura网站上订购过美容产品的客户,在公司不知情的情况下,他们的个人信息被泄露给了公众。然而,这还不是全部。与第三方公司Wirecard相关的4万名客户的支付信息也被曝光了两周多。

研究人员说,数据泄露的奇怪之处在于,自从发现并通知Natura以来,根据服务器日志,数据泄露的大小已经从272 GB减少到27.2 GB。他说:“这强烈显示有刻意的不当行为,目的是隐瞒泄漏的严重程度。例如,一名恶意黑客删除了精确数量的记录,以隐藏他们的行为。

被攻破的服务器包含网站和移动站点API日志,这些日志暴露了所有生产服务器信息。研究人员补充说,泄密中还提到了一些“亚马逊存储桶名称”,包括提到各方正式协议的PDF文件。简而言之,泄露的数据库包含超过270 GB的数据和超过1.92亿条记录,其中包含以下个人详细信息:

全名母亲婚前姓名出生日期国籍性别Natura.com.br登录凭据包括哈希密码欢迎电子邮件模板用户名和昵称MOIP帐户详细信息Api凭据包括未加密密码、以前购买的电话号码、电子邮件和物理地址访问wirecard的令牌。br。

这样的数据泄露后果不胜枚举,对涉案个人都是不利的。除了客户可能成为攻击目标的恶意攻击(如网络钓鱼)外,泄露的数据还可能被用于身份欺诈和进一步的犯罪活动。研究人员总结道:“暴露的有关后端的细节,以及服务器的密钥,可能会被用来进行进一步的攻击,并允许对现有系统进行更深层次的渗透。”