A Cosentino, uma multinacional que produz superfícies e pedras para projetos de arquitetura e design doméstico, teve uma brecha em seus servidores que expôs os dados de clientes em todo o mundo.
A falha estava no sistema de emissão de certificados de garantia, que permitia que informações pessoais dos consumidores fossem reveladas de maneira simples, como nomes completos, telefones, e-mails e endereços.
A falha era devido a uma configuração simples na infraestrutura da empresa.
Um cadastro era necessário para obtenção de um certificado de garantia de 25 anos, que continha informações dos clientes e do imóvel em que as peças estavam instaladas.
Especialistas em segurança do Cybernews descobriram que o documento era emitido em um PDF, cuja URL poderia ser manipulada para trocar dados de identificação do cliente.
Com um único link, era possível acessar os certificados de garantia de todos os outros clientes que tivessem dados presentes no servidor, sem nenhuma verificação de identidade.
Os certificados podiam ser acessados de forma única, mas um script simples poderia coletar todos os dados automaticamente.
A exposição generalizada poderia resultar no vazamento de dados de toda a base de clientes da Cosentino.
Além disso, os documentos também traziam informações sobre revendedores dos produtos e sobre o próprio material aplicado nos lugares.
Criminosos poderiam realizar ataques de phishing se passando pela fabricante ou suas parceiras comerciais, de forma a obter mais informações pessoais dos clientes, além de informações financeiras ou pagamentos indevidos.
A Cosentino foi contatada e fechou o acesso sem autenticação aos certificados.
Não é possível saber se o volume foi acessado e baixado por terceiros mal-intencionados para uso em ataques.
A empresa possui uma fábrica no Brasil, mas não há informações sobre a presença de brasileiros entre os dados comprometidos.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...