巴西Natura泄露1.9億條信息

巴西最大的喜劇公司Natura意外在互聯網上泄露了數百G的客戶個人數據和支付相關信息，任何人無需認證就可以訪問這些數據。SafetyDetective研究人員Anurag Sen發現了Natura的2個位于Amazon的未保護的服務器，這兩個服務器的數據大小分別未272GB和1.3TB，兩個服務器共包含1.92億條記錄。

泄露的數據包括25萬Natura客戶的個人可識別信息、賬號登陸cookie、來自服務器和用戶的日志。其中個人信息包括：

• 姓名
• 出生日期
• 國籍
• 性別
• 加鹽哈希后的登陸密碼
• MOIP賬號細節
• 含有未加密的密碼的API憑證
• 最近的購買記錄
• 電話號碼
• 郵件和家庭地址
• wirecard.com.br的訪問token

此外，泄露的數據中還包括將近4萬條wirecard.com.br用戶的支付賬號細節，包括訪問token。Anurag稱其中有約90%的用戶信息屬于巴西客戶，還有秘魯。

被爆泄露數據的未保護的服務器上還含有機密的.pem證書文件，該文件含有Natura網站保存的EC2 Amazon的服務器密鑰/密碼。攻擊者利用該文件可以直接注入數字竊取器到公司的官網來實時竊取用戶支付卡信息。此外，證書文件還可以被用于發起進一步的攻擊活動。

英國易捷航空900萬數據泄露

英國廉價航空易捷航空 (EasyJet)近日承認遭受了網絡攻擊，有約900萬客戶的郵箱地址和旅游記錄數據泄露。

EasyJet發布的官方公告中確認有900萬用戶受到影響，其中2208名客戶的信用卡數據也被竊取，但沒有護照信息失竊。EasyJet并未透露數據泄露的時間、方式、以及發現數據泄露的時間。但EasyJet向用戶確認已經關閉了泄露數據的訪問權限，目前沒有任何證據表明有個人信息被濫用。

EasyJet也通知了英國數據保護機構ICO，并將繼續調查數據泄露事件并確定泄露的范圍和造成的影響。

受影響的用戶將會在5月26日前收到通知。