Falha em serviço que integra Amazon, Mercado Livre e outros expõe 1,7 bilhão de registros, dizem pesquisadores
Hariexpress manteve base de dados pública após erro em configuração, alerta laboratório de segurança Safety Detectives. Com foco em lojistas de marketplace, empresa também oferece integrações com Shopee e Correios, que disseram não terem sido afetadas.
Uma falha no banco de dados da Hariexpress, plataforma usada por algumas das principais varejistas do país, expôs 1,75 bilhão de registros, segundo o laboratório de cibersegurança Safety Detectives. O erro tornou públicas informações como nome, telefone e endereços de clientes e vendedores.
Os pesquisadores identificaram uma configuração incorreta na base de dados da Hariexpress, cujo serviço integra marketplaces de empresas como Amazon, Mercado Livre, Americanas, Shopee e Magazine Luiza. As lojas não têm relação com o incidente (veja o posicionamento mais abaixo).
A plataforma da Hariexpress permite que vendedores exibam seus produtos em diversas varejistas. A integração, porém, faz a Hariexpress ter acesso a informações sobre lojistas, clientes e pedidos.
O Safety Detectives afirma que o tamanho da base de dados dificulta saber com precisão quantas pessoas foram afetadas, mas estima que o incidente afeta “centenas de milhares, se não milhões de usuários e compradores brasileiros”.
“Sabemos que havia milhares de endereços de e-mail nos registros do servidor e, como tal, podemos supor que milhares de pessoas foram afetadas”, disse o laboratório.
“No entanto, uma estimativa exata é difícil devido à presença de endereços de e-mails duplicados”.
O que é a Hariexpress?
A Hariexpress oferece um serviço em que comerciantes podem automatizar vendas por meio de marketplaces, em que grandes varejistas exibem produtos de terceiros.
Para facilitar o processo, a Hariexpress tem uma plataforma para vendedores cadastrarem seus produtos de uma vez em várias lojas. Além das já citadas, a empresa tem integração com as plataformas Tiny ERP, Bling! e Nuvemshop. A Hariexpress também possui integração com os Correios.
Os dados ficaram expostos por conta de uma configuração incorreta da Hariexpress no servidor, que estava sem criptografia, nem senha.
O que foi exposto?
A base da Hariexpress tinha 610 gigabytes de informações, segundo o Safety Detectives. Entre os registros encontrados, estão dados pessoais de clientes e lojistas, como:
- Nome completo (e nome de usuário)
- Telefone
- Endereço
- Endereço de cobrança e valores de pedidos
- Imagens dos produtos entregues
Ainda de acordo com o laboratório, os dados de vendedores incluíam CNPJ, CPF e detalhes das cobranças. Eles afirmam que a base de dados também exibia links para faturas – que reúnem endereços de clientes e empresas –, senhas criptografadas e códigos de rastramento de pedidos.https://tpc.googlesyndication.com/safeframe/1-0-38/html/container.html
Os pesquisadores apontam que os registros na base de dados estavam em português e tinham várias referências à Hariexpress. O laboratório diz ter descoberto a falha em junho, mas alerta que, aparentemente, as informações estavam expostas ao menos desde 12 de maio.
O grupo informou que não conseguiu tratar do incidente no servidor com a Hariexpress.
Qual é o impacto da falha?
A maioria das informações expostas pertence a clientes de lojistas que usavam a plataforma da Hariexpress.
Ao se tornarem públicos, os e-mails podem ser usados em mensagens falsas e golpes de engenharia social, em que vítimas são induzidas a revelar mais dados particulares em sites criados por golpistas. As informações também pode ser aproveitadas para disseminar boletos falsos, por exemplo.
Para os lojistas, há o risco de pedidos falsos de reembolso e roubos de conta. Os pesquisadores também apontam que a falha pode levar a casos de espionagem corporativa, já que empresas poderiam buscar detalhes sobre produtos mais vendidos por seus concorrentes.
O que dizem as empresas
O g1 entrou em contato com a Hariexpress, mas não houve retorno até a publicação da reportagem.
A Amazon disse que “com relação a este episódio, fomos informados pela Hariexpress que não ocorreu o vazamento de nenhum dado” da empresa.
As lojas Americanas afirmaram que “desconhece a ocorrência de qualquer vazamento de dados de seus clientes ou vulnerabilidade em seu ambiente”. Segundo a empresa, “a informação também foi certificada pela Hariexpress na última semana”.
A Shopee afirmou que “leva a privacidade dos dados muito a sério e está empenhada em garantir a segurança e proteção de seus usuários” e que a Hariexpress informou que seus usuários não foram impactados.
A Magazine Luiza disse que “não registrou qualquer vazamento de dados e mantém constante monitoramento da segurança de suas informações”. A loja indicou que, durante os 10 meses em que a integração da Hariexpress ficou ativa, a plataforma “adicionou apenas 30 sellers e registrou 12 vendas realizadas”.https://f5354638631e26e9046959cd88f2bf33.safeframe.googlesyndication.com/safeframe/1-0-38/html/container.html
A plataforma de comércio eletrônico Tiny ERP explicou permite integrações e, neste caso, o cliente é responsável pelo acesso aos dados de sua conta por terceiros. “A Tiny Software não possui nenhum vínculo com a empresa Hariexpress e não temos nenhum comentário adicional a respeito deste fato, uma vez que não houve nenhum vazamento de dados no ambiente do sistema Tiny ERP”, afirmou o serviço.
A Nuvemshop, outro serviço de e-commerce, disse que entrou em contato com a Hariexpress para pedir esclarecimentos, mas que até o momento não teve retorno. “A Nuvemshop reforça que já tomou providências para resguardar a privacidade de seus usuários e reitera o seu compromisso com a segurança e proteção de dados”, disse a empresa.
Os Correios disseram que “o material publicado pela Safety Detectives não especifica quais dados pessoais de origem da empresa podem ter sido supostamente vazados” e que até o momento “não há indícios de violação de informações – de pessoas físicas ou jurídicas – oriundas da base de dados da estatal”.
“O sistema dos Correios que mantém integração ao servidor citado atua apenas na aferição de peso de encomendas e precificação, não havendo o processamento de dados pessoais. Outros dados compartilhados eventualmente na transação entre os sistemas, tal como o CEP, não permitem identificar titular de dado pessoal, tampouco código de rastreio de objetos. Ainda assim, os Correios seguem apurando o caso, para tomar as providências necessárias e corretivas, no que couber”, completa a nota.
Outras lojas que se integram à Hariexpress não retornaram o contato do g1 até a última atualização dessa reportagem.
Leia mais: https://g1.globo.com/tecnologia/noticia/2021/10/21/falha-em-servico-que-integra-amazon-mercado-livre-e-outros-expoe-17-bilhao-de-registros-dizem-pesquisadores.ghtml
Fonte: Por g1
