Brezilyalı Kozmetik Firması Natura’ya Ait 192 Milyon Kişisel Bilgi Sızdırıldı

The Natura & Co Group’un büyük güvenlik hatası haftalar boyunca yanlış yapılandırılmış 2 AWS veritabanın varlığı araştırmacılar tarafından duyuruldu.

Brezilya’nın Sao Paulo şehrinde bulunan The Natura & Co Group kozmetik firması, müşterilerine ait verilerini herhangi bir güvenlik doğrulamasının olmadığı ve doğrudan erişime açık iki AWS’de ( Amazon Web Services) barındırdığı ortaya çıktı. Dünya genelinde 73 farklı ülkede çeşitli alt isimlerle faaliyet gösteren ve ülkemizde de Avon olarak bilinen firmanın açığa çıkan ilk veritabanında 1.3 TB değerinde veri bulunurken, ikinci veritabanında 272 GB verinin yer aldığı toplam da 192 milyon kullanıcısına ait kişisel verilerin herhangi bir güvenlik önlemi olmaksızın kayıt altında tutulduğu belirlendi.

Veri ihlaline ilişkin HackRead’a ulaşan rapora göre Natura online satış portalını kullanan 250.000 fazla müşteri ile firmanın mobil uygulamasından alışveriş yapan 40.000 üzerinde kullanıcının kişisel verileri ile hesap bilgilerinin herhangi bir güvenlik olmadan depolandığı anlaşıldı. Araştırmacılar tarafından her iki veritabanı üzerinde yapılan incelemeler neticesinde aşağıda sıralanan tüm kişisel bilgilere erişilebildiği ortaya çıktı.

  • Cinsiyet
  • Ad Soyad
  • Hoş geldiniz e-posta şablonu
  • Natura.com.br giriş bilgileri
  • E-posta ve fiziksel adresler
  • Önceki satın alımlar
  • Kullanıcı adı ve takma ad
  • Telefon numarası
  • Anne Kızlık Soyadı
  • Şifrelenmemiş şifreler dahil API kimlik bilgileri
  • MOIP hesap bilgileri (Brezilya Wiracard)
  • Ülke Bilgisi
  • Doğum tarihi

Araştırmacılar ayrıca Natura şirketinin internet sitesinin SSL sertifikaları ve şifreleme anahtarlarını içeren .pem içeriklerine de erişmeyi başardı. 192 milyon kullanıcının çoğunluğunun Brezilya lokasyonlu kullanıcılar olduğu belirtilen araştırmada Natura şirketinin tespit edilen veri ihlaline karşı herhangi bir önlem almadığını, bu durum sebebiyle Amazon yetkilileri ile irtibat kurularak veritabanlarının haftalar sonra güvenli hale getirmeyi başardı. Ülkemiz kullanıcılarının bu güvenlik zafiyetine maruz kalıp kalmadıkları henüz resmi olarak bilinmese de, online alışveriş yapan vatandaşların kimlik avı saldırılarına karşı dikkatli olmaları konusunda uyarıyoruz.

Bu makaleyi okumaktan hoşlandınız mı? Facebook sayfamızı beğenin ve Twitter‘da bizi takip edin .

Hakkında Oğuzhan ÇALIŞKAN

Oğuzhan ÇALIŞKAN
Siber Güvenlik Araştırmacısı

Cevapla

E-posta adresiniz yayınlanmayacak. Required fields are marked *

*