Falha em serviço que integra Amazon, Mercado Livre e outros expõe 1,7 bilhão de registros, dizem pesquisadores

Views:
3

Hariexpress manteve base de dados pública após erro em configuração, alerta laboratório de segurança Safety Detectives. Com foco em lojistas de marketplace, empresa também oferece integrações com Americanas, Shopee e Correios. Segundo laboratório, incidente da Hariexpress expôs dados como nome, e-mail e telefone de milhares clientes
Altieres Rohr/G1
Uma falha no banco de dados da Hariexpress, plataforma usada por algumas das principais varejistas do país, expôs 1,75 bilhão de registros, segundo o laboratório de cibersegurança Safety Detectives. O erro tornou públicas informações como nome, telefone e endereços de clientes e vendedores.
Os pesquisadores identificaram uma configuração incorreta na base de dados da Hariexpress, cujo serviço integra marketplaces de empresas como Amazon, Mercado Livre, B2W Digital, Shopee e Magazine Luiza. As lojas não têm relação com o incidente.
A plataforma da Hariexpress permite que vendedores exibam seus produtos em diversas varejistas. A integração, porém, faz a Hariexpress ter acesso a informações sobre lojistas, clientes e pedidos.
Lei Geral de Proteção de Dados: o que muda para os cidadãos? Veja perguntas e respostas
Vazamento de dados: guia para se proteger e tirar dúvidas
Sua conta no WhatsApp está protegida? Faça o teste e descubra
O Safety Detectives afirma que o tamanho da base de dados dificulta saber com precisão quantas pessoas foram afetadas, mas estima que o incidente afeta “centenas de milhares, se não milhões de usuários e compradores brasileiros”.
“Sabemos que havia milhares de endereços de e-mail nos registros do servidor e, como tal, podemos supor que milhares de pessoas foram afetadas”, disse o laboratório.
“No entanto, uma estimativa exata é difícil devido à presença de endereços de e-mails duplicados”.
O que é a Hariexpress?
A Hariexpress oferece um serviço em que comerciantes podem automatizar vendas por meio de marketplaces, em que grandes varejistas exibem produtos de terceiros.
Para facilitar o processo, a Hariexpress oferece uma plataforma para vendedores cadastrarem seus produtos de uma vez em várias lojas. Além das já citadas, a empresa tem integração com as plataformas tinyERP, Bling! e Nuvemshop. A Hariexpress também possui integração com os Correios.
Os dados ficaram expostos por conta de uma configuração incorreta da Hariexpress no servidor, que estava sem criptografia, nem senha.
VÍDEO: Como acontece um vazamento de dados?
O que foi exposto?
A base da Hariexpress tinha 610 gigabytes de informações, segundo o Safety Detectives. Entre os registros encontrados, estão dados pessoais de clientes e lojistas, como:
Nome completo (e nome de usuário)
E-mail
Telefone
Endereço
Endereço de cobrança e valores de pedidos
Imagens dos produtos entregues
Ainda de acordo com o laboratório, os dados de vendedores incluíam CNPJ, CPF e detalhes das cobranças. Eles afirmam que a base de dados também exibia links para faturas – que reúnem endereços de clientes e empresas –, senhas criptografadas e códigos de rastramento de pedidos.
Os pesquisadores apontam que os registros na base de dados estavam em português e tinham várias referências à Hariexpress. O laboratório diz ter descoberto a falha em junho, mas alerta que, aparentemente, as informações estavam expostas ao menos desde 12 de maio.
O grupo informou que não conseguiu tratar do incidente no servidor com a Hariexpress.
Qual é o impacto da falha?
A maioria das informações expostas pertence a clientes de lojistas que usavam a plataforma da Hariexpress.
Ao se tornarem públicos, os e-mails podem ser usados em phishing e golpes de engenharia social, em que vítimas são induzidas a revelar mais dados particulares em sites criados por golpistas. As informações também pode ser aproveitadas para disseminar boletos falsos, por exemplo.
Para os lojistas, há o risco de pedidos falsos de reembolso e roubos de conta. Os pesquisadores também apontam que a falha pode levar a casos de espionagem corporativa, já que empresas poderiam buscar detalhes sobre produtos mais vendidos por seus concorrentes.
O g1 entrou em contato com a Hariexpress, mas não houve retorno até a publicação da reportagem.

Curta ou Compartilhe esse anúncio
0

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *