NEWS

Trovati su un server non protetto i dati personali di 250mila clienti di un'azienda di cosmetici

Natura, azienda di prodotti per la cura della persona e la bellezza, ha subìto una violazione dei dati che ha compromesso le informazioni personali di oltre 250mila clienti che avevano ordinato prodotti dal suo sito ufficiale. Gli esperti di security della SafetyDetective hanno scoperto due server non protetti contenenti database con oltre 192 milioni di record appartenenti a Natura ospitati su Amazon da 272 gigabyte e 1,3 terabyte.

L'azienda di cosmetici Natura è stata colpita da un data breach riguardante 250.000 clienti
Inoltre, il server non protetto aveva anche un file PEM (Privacy Enhanced Mail) segreto che a sua volta conteneva la password per un altro server Amazon basato su cloud in cui è ospitato il sito web Natura. Tale password avrebbe potuto consentire a malintenzionati di installare uno skimmer nel sito dell'azienda per rubare i dettagli della carta di pagamento degli utenti in tempo reale.

È stato riscontrato che anche le informazioni di pagamento di 40.000 clienti relative a una società di terze parti sono state colpite dal data breach.

Sebbene la violazione dei dati sia stata scoperta per la prima volta il 12 aprile 2020, i ricercatori di SafetyDetective hanno dichiarato di essere in grado di confermare che centinaia di gigabyte di informazioni sono state esposte dal 26 marzo 2020.

Secondo gli esperti, i dati esposti includono informazioni di identificazione personale (PII) di clienti come nome, cognome da nubile della madre, nazionalità, genere, password di accesso con hash, nome utente e nickname. Inoltre, gli altri dati importanti che sono stati esposti nell'incidente informatico includono, dettagli dell'account, credenziali API con password non crittografate, acquisti recenti, numero di telefono, e-mail e indirizzi fisici, un token di accesso per sistemi di pagamento elettronici, i cookie di accesso all'account, insieme ad archivi contenenti registri dai server.

Note sull'Autore

Federprivacy Federprivacy

Federprivacy è la principale associazione di riferimento in Italia dei professionisti della privacy e della protezione dei dati, iscritta presso il Ministero delle Imprese e del Made in Italy (MISE) ai sensi della Legge 4/2013. Email: [email protected] 

Prev La compagnia aerea Easyjet colpita da attacco hacker: violati i dati personali di 9 milioni di clienti
Next Il Comune vince la causa contro l’ex dipendente e ne pubblica online la sentenza con i dati sensibili

Il presidente di Federprivacy a Report Rai 3

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy