Centenas de milhares de clientes de uma empresa de cosméticos tiveram seus dados pessoais expostos graças a uma conta de armazenamento em nuvem mal configurada. A equipe de pesquisadores de segurança do site de análises WizCase rastreou bucket de armazenamento S3 (“caçambas” de objetos) da Amazon Web Services (AWS) configurados incorretamente com vazamento da empresa de produtos de beleza turca Cosmolog Kozmetik.
O vazamento contém 20 GB de dados e cerca de 9.500 arquivos, incluindo milhares de arquivos Excel que expunham as informações pessoais de 567 mil usuários que compraram itens da varejista em várias plataformas de comércio eletrônico.
Embora a equipe de pesquisadores não tenha descoberto nenhuma informação de pagamento, eles encontraram os nomes completos dos clientes, endereços físicos e detalhes de compra entre os pedidos que vazaram. Em alguns casos, números de telefone e e-mails também foram expostos. Os pedidos mais antigos datavam de 2019 e vão até os dias atuais. Isso indica que o banco de dados é atualizado continuamente, conforme levantou a Infosecurity.
O WizCase ressalta que muitos daqueles cujos detalhes foram expostos podem não estar cientes do vazamento, já que os usuários do mercado de comércio eletrônico muitas vezes não verificam os nomes dos vendedores.
A Cosmolog Kozmetik, que também vende sob o nome Marketlog, é comumente encontrada nas principais plataformas de e-commerce turcas Trendyol, Hepsiburada e Unishop.
Veja isso
Mais de 40 apps são encontrados vazando chaves da AWS
FBI prende homem que planejava explodir data center da AWS
A WizCase alerta que, se os agentes da ameaça conseguissem encontrar e copiar os dados expostos, isso pode colocar esses compradores em risco de phishing e fraude, incluindo esquemas de reembolso. Eles podem até mesmo sofrer roubo físico de pacotes se os invasores rastrearem e roubarem as remessas assim que chegarem às casas dos clientes, acrescentou o site.
“Os cibercriminosos estão sempre gerando novos métodos para explorar qualquer pessoa vulnerável na Internet”, destaca a WizCase em uma postagem de blog que detalha o problema de privacidade. “Para fins futuros, recomendamos sempre inserir o mínimo possível de informações ao fazer uma compra ou abrir uma conta na internet. Quanto menos informações você fornecer aos hackers para trabalhar, menos vulnerável você ficará a ataques.”
Embora WizCase tenha contatado o CERT turco, AWS e Cosmolog Kozmetik sobre a violação, nenhuma delas havia respondido até o momento desta publicação.