巴西Natura泄露1.9亿条信息
巴西最大的喜剧公司Natura意外在互联网上泄露了数百G的客户个人数据和支付相关信息,任何人无需认证就可以访问这些数据。SafetyDetective研究人员Anurag Sen发现了Natura的2个位于Amazon的未保护的服务器,这两个服务器的数据大小分别未272GB和1.3TB,两个服务器共包含1.92亿条记录。
泄露的数据包括25万Natura客户的个人可识别信息、账号登陆cookie、来自服务器和用户的日志。其中个人信息包括:
- 姓名
- 出生日期
- 国籍
- 性别
- 加盐哈希后的登陆密码
- MOIP账号细节
- 含有未加密的密码的API凭证
- 最近的购买记录
- 电话号码
- 邮件和家庭地址
- wirecard.com.br的访问token
此外,泄露的数据中还包括将近4万条wirecard.com.br用户的支付账号细节,包括访问token。Anurag称其中有约90%的用户信息属于巴西客户,还有秘鲁。
被爆泄露数据的未保护的服务器上还含有机密的.pem证书文件,该文件含有Natura网站保存的EC2 Amazon的服务器密钥/密码。攻击者利用该文件可以直接注入数字窃取器到公司的官网来实时窃取用户支付卡信息。此外,证书文件还可以被用于发起进一步的攻击活动。
英国易捷航空900万数据泄露
英国廉价航空易捷航空 (EasyJet)近日承认遭受了网络攻击,有约900万客户的邮箱地址和旅游记录数据泄露。
EasyJet发布的官方公告中确认有900万用户受到影响,其中2208名客户的信用卡数据也被窃取,但没有护照信息失窃。EasyJet并未透露数据泄露的时间、方式、以及发现数据泄露的时间。但EasyJet向用户确认已经关闭了泄露数据的访问权限,目前没有任何证据表明有个人信息被滥用。
EasyJet也通知了英国数据保护机构ICO,并将继续调查数据泄露事件并确定泄露的范围和造成的影响。
受影响的用户将会在5月26日前收到通知。