Falha de segurança na Avon expôs dados de funcionários e sistemas internos

Um servidor desprotegido pertencente à Avon expôs mais de 7 GB de informações sobre os sistemas internos da companhia e seus funcionários. No volume constavam não apenas dados que identificam os colaboradores pessoalmente, com direito até mesmo a endereços físicos e salários, bem como tokens de autenticação usados para acesso a plataformas de controle e gerenciamento da companhia.

• Natura tinha brecha de segurança que expôs mais de 250 mil clientes
• Onda de ciberataques imprevisíveis afetam telecoms, centros de saúde e outros
• Hackers usam backdoor “furtiva” para comprometer servidores de e-commerce

O total de colaboradores atingidos não foi revelado, mas o time de pesquisadores da Safety Detectives, responsáveis pela descoberta e liderados por Anurag Sen, falam em 11 mil registros expostos. As informações disponíveis parecem pertencer à equipe de vendas da companhia, podendo trazer dados tanto de funcionários internos da Avon quanto de representantes comerciais.

No servidor, estavam disponíveis informações como nomes completos, números de telefone, datas de nascimento, endereços físicos e de correio eletrônico, dados de GPS e os últimos valores pagos pela empresa a eles. O volume trazia também o que os especialistas acreditam ser uma lista de nomes completos de colaboradores internos da Avon, mas não se sabe ao certo se eles também estão envolvidos no vazamento.

Além disso, a exposição também trazia a público os e-mails de administradores dos sistemas internos da companhia de cosméticos e registros que tornavam a plataforma restrita completamente vulnerável. De acordo com o time da Safety Detectives, não apenas os tokens OAuth temporários usados para autenticação estavam disponíveis, como também aqueles usados para atualização destas credenciais, permitindo que um atacante tivesse acesso completo às contas que desejasse a partir dos endereços de correio eletrônico disponíveis no servidor.

A exposição também envolve logs técnicos de erros e validação para acesso ao sistema, como pedidos de mudanças nas credenciais e PINs enviados por e-mail aos usuários das plataformas. O time de especialistas não especifica se os servidores eram atualizados em tempo real, mas em caso positivo, mais uma brecha na segurança da companhia poderia existir aqui, com terceiros podendo interceptar até mesmo solicitações de autenticação em duas etapas para ganhar acesso à infraestrutura.

A partir disso, explica o relatório recebido pelo Canaltech, um hacker seria capaz de instalar malwares para roubo de dados do servidor ou realizar um ataque de ransomware, bloqueando completamente o acesso às informações mediante pagamento pela empresa. Ainda, seria possível instalar mineradores de criptomoedas para gerar lucros aos atacantes — e estas são apenas três explorações possíveis a partir da brecha.

Casos relacionados

A descoberta do servidor desprotegido pela Safety Detectives caminha ao lado de um comunicado emitido pela Avon no dia 9 de junho deste ano. À Comissão de Valores Mobiliários dos Estados Unidos, país em que possui ações em negociação, a empresa afirma que um incidente levou à “interrupção de alguns sistemas e afetou parcialmente as operações”, sem entrar em detalhes.

Um novo comunicado sobre o assunto foi publicado em 12 de junho, a Avon atualizou os investidores sobre o assunto, afirmando que dados financeiros não foram afetados pela brecha citada três dias antes, uma vez que seu e-commerce não armazena esse tipo de informação. Por fim, em 26 de junho, a companhia anuncia o reestabelecimento das operações de forma completa em seus centros de distribuição e escritórios regionais, apesar de ainda falar de uma investigação em andamento sobre as causas e um trabalho para mitigar os impactos dessa vulnerabilidade, cujas causas e detalhes não foram divulgados.

De acordo com a Safety Detectives, o servidor localizado pelos especialistas estava exposto, pelo menos, desde 3 de junho, enquanto um contato com a empresa foi feito no dia 12. Por isso, não seria possível relacionar os casos; o mais importante é que, ao final do último mês e no momento em que esta reportagem é publicada, os dados não estão mais expostos ao público. O Canaltech entrou em contato com a Avon em busca de esclarecimentos e mais detalhes sobre o caso, mas não recebeu respostas até o fechamento deste texto.

Sendo assim, também não existem informações sobre acessos não autorizados às informações expostas ao longo dos dias em que o servidor permaneceu desprotegido. Por isso, a recomendação aos funcionários que eventualmente tenham sido atingidos é a troca de senhas de acesso aos sistemas de trabalho e contas pessoais, principalmente se as mesmas credenciais forem compartilhadas entre elas, uma prática que não é nada recomendada.

O ideal é utilizar senhas aleatórias e que contenham símbolos, letras e números. O uso de autenticação em duas etapas também é essencial para prevenir acessos indiscriminados a contas pessoais ou de trabalho, assim como o cuidado no preenchimento de cadastros e entrega de informações financeiras.

Ainda, o ideal é não clicar em links que cheguem por e-mail ou mensageiros instantâneos, além de jamais realizar downloads ou abrir arquivos que cheguem a partir destas fontes, a não ser que se tenha absoluta certeza da confiabilidade deles. Por fim, manter sistemas operacionais e soluções de segurança atualizadas no computador ou celular são bons caminhos para evitar ameaças mais comuns e conhecidas.

Atualização 29/07/2020 11h32: Em comunicado enviado ao Canaltech após a publicação desta reportagem, a Avon afirma estar ciente do relatório que revelou a brecha em seus sistemas internos e que está investigando a situação para que as medidas apropriadas sejam tomadas. A empresa não falou mais sobre o caráter da exposição nem deu detalhes sobre um possível comprometimento dos dados.

Fonte: Safety Detectives, Avon (SEC)