A equipe de segurança da Safety Detectives, atualmente liderada por Anurag Sen, descobriu um vazamento de dados significativo no site da Natura, incluindo vários itens de informações pessoais em dois servidores hospedados na Amazon com 272 GB e 1,3 TB, localizados nos EUA.
Segundo os dados divulgados pela Safety Detectives, empresa que atua no mercado de antivírus e possui um laboratório de estudos em segurança digital, a brecha de segurança expôs dados de mais de 250 mil clientes, sendo que 90% são brasileiros, além de usuários de outras nacionalidades, incluindo o Peru.
As informações de pagamento de 40.000 clientes relacionados a uma empresa terceirizada, a Wirecard, também ficaram disponíveis ao público por mais de duas semanas. De acordo com os logs do servidor, o tamanho da violação de dados variou ao longo de vários dias.
O vazamento de dados foi descoberto pela primeira vez em 12 de abril de 2020, embora a equipe de segurança da Safety Detectives tenha conseguido confirmar que centenas de gigabytes de informações estavam disponíveis desde o 26 de março de 2020.
A Natura foi imediatamente contatada e este relatório foi publicado depois que a varejista corrigiu a brecha. Procurada pela Security Report, a Natura enviou o comunicado oficial abaixo:
Em relação ao relatório da empresa Safety Detectives, a Natura esclarece que detectou um ambiente vulnerável em um servidor de teste, que não faz parte de seus sistemas produtivos da companhia. O ambiente foi eliminado imediatamente após ser identificado, sem risco de exposição de dados.
A Natura realiza atualizações frequentes em seus sistemas e tem redobrado o cuidado com a segurança da informação. Falhas de segurança detectadas pela companhia ou por parceiros são submetidas a análise técnica criteriosa. Caso a apuração indique potencial risco a consultoras e consumidores, eles são comunicados imediatamente sobre o ocorrido.
A Natura reafirma assim o seu compromisso com a ética e a transparência.
