A Cosentino, uma multinacional que produz superfícies e pedras para projetos de arquitetura e design doméstico, teve uma brecha em seus servidores que expôs os dados de clientes em todo o mundo.
A falha estava no sistema de emissão de certificados de garantia, que permitia que informações pessoais dos consumidores fossem reveladas de maneira simples, como nomes completos, telefones, e-mails e endereços.
A falha era devido a uma configuração simples na infraestrutura da empresa.
Um cadastro era necessário para obtenção de um certificado de garantia de 25 anos, que continha informações dos clientes e do imóvel em que as peças estavam instaladas.
Especialistas em segurança do Cybernews descobriram que o documento era emitido em um PDF, cuja URL poderia ser manipulada para trocar dados de identificação do cliente.
Com um único link, era possível acessar os certificados de garantia de todos os outros clientes que tivessem dados presentes no servidor, sem nenhuma verificação de identidade.
Os certificados podiam ser acessados de forma única, mas um script simples poderia coletar todos os dados automaticamente.
A exposição generalizada poderia resultar no vazamento de dados de toda a base de clientes da Cosentino.
Além disso, os documentos também traziam informações sobre revendedores dos produtos e sobre o próprio material aplicado nos lugares.
Criminosos poderiam realizar ataques de phishing se passando pela fabricante ou suas parceiras comerciais, de forma a obter mais informações pessoais dos clientes, além de informações financeiras ou pagamentos indevidos.
A Cosentino foi contatada e fechou o acesso sem autenticação aos certificados.
Não é possível saber se o volume foi acessado e baixado por terceiros mal-intencionados para uso em ataques.
A empresa possui uma fábrica no Brasil, mas não há informações sobre a presença de brasileiros entre os dados comprometidos.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...