The Body Shop, Avon y Natura, empresas con certificación ISO 27001, filtraron datos de 250 mil clientes

Especialistas de un curso de ciberseguridad han reportado un nuevo incidente que involucra la información personal de millones de personas. Una compañía multimillonaria con sede en Brasil expuso información altamente sensible (datos personales y financieros) de sus clientes. Acorde a los reportes, la información expuesta estaba alojada en bases de datos mal configuradas, por lo que quedaron disponibles para cualquier usuario.

La compañía en cuestión, Natura & Co Group, está integrada por un grupo global de producción y venta de cosméticos con presencia en más de 70 países. Esta corporación es propietaria de firmas como Aesop, Avon y The Body Shop.

Los expertos del curso de ciberseguridad mencionan que la brecha de datos involucra dos bases de datos con más de 190 millones de registros cada una. Una de las implementaciones expuestas almacena información equivalente a 1.3 TB, mientras que la segunda base de datos contenía 272 GB.

Gracias a un informe filtrado, la comunidad de la ciberseguridad pudo saber que más de 250 mil clientes de Natura se han visto afectados por la brecha de datos. Además se reveló que al menos 40 mil registros de cuentas de comunicaciones móviles a través de Internet (MOIP) pertenecientes a Wirecard también se encontraban expuestos. Entre la información comprometida destacan detalles como:

  • Nombre completo
  • Domicilio
  • Dirección email
  • Género
  • Fecha y lugar de nacimiento
  • Número de teléfono
  • Historial de compras
  • Detalles de la cuenta MOIP
  • Nombre de usuario y apodo
  • Token de acceso para wirecard.com.br
  • Credenciales de API que incluyen contraseñas sin cifrar
  • Credenciales de inicio de sesión de Natura.com.br incluyendo contraseñas hash

El incidente no se limitó a los clientes de Natura. Poco después, los expertos del curso de ciberseguridad confirmaron que la brecha de datos también comprometió detalles confidenciales sobre la infraestructura de TI de la compañía. “El servidor comprometido contenía registros de API del sitio web de Natura, por lo que se expuso toda la información del servidor de producción”, mencionan los expertos. Además, en la filtración también se expusieron los nombres de algunos buckets de Amazon, que almacenan PDFs relacionados con acuerdos entre la compañía y otras partes. 

El Instituto Internacional de Seguridad Cibernética (IICS) recomienda a los clientes de Natura consultar a la compañía sobre las medidas que se están tomando para atender este asunto pues, debido a la naturaleza de la información comprometida, podrían verse expuestos a campañas de phishing o fraudes de identidad.

Por seguridad, los clientes deben tener cuidado con los emails maliciosos, además de evitar compartir sus datos personales en línea. En estos casos es común que las firmas ofrezcan servicios de protección contra fraudes de identidad y bancarios, aunque Naturia no ha hecho más declaraciones oficiales.