A plataforma de integração de marketplaces e ecommerces, Hariexpress (que serve Correios, Mercado Livre, Amazon, Shopee, Magalu, Americanas, Shoptime, Submarino, entre outras), deixou mais de 1,75 bilhão de registros em mais de 610 GB de dados confidenciais expostos, acessíveis através de um servidor Elasticsearch desprotegido. O vazamento foi revelado pela equipe de segurança da SafetyDetectives na terça-feira (13).
- Militar é preso por vender dados confidenciais da marinha estadunidense em um sanduíche de pasta de amendoim
- Twitch sofre vazamento de dados; código-fonte e pagamentos a streamers são expostos
- Banco do Estado de Sergipe vaza 395 mil chaves Pix
Segundo os pesquisadores da SafetyDetectives, o banco de dados foi encontrado desprotegido, sem senha e possui várias referências que indicam ser da Hariexpress. Tanto os clientes dessas marcas, como os vendedores cadastrados nas plataformas tiveram seus dados comprometidos.
Entre os dados dos clientes, foram vazados informações como nome completo, endereço de email, número de telefone, endereço completo além das fotos dos itens adquiridos pelos clientes. Já os vendedores tiveram nome completo, endereço de email, número de telefone, endereço comercial ou residencial, CNPJ e CPF.
Além das informações pessoais dos membros da plataforma, também foram vazados dados internos, como notas fiscais, credenciais de acesso de clientes e número dos rastreadores de pedidos.
"O vasto tamanho do servidor torna difícil saber exatamente quantas pessoas foram afetadas por esta violação [...] Podemos supor que milhares de pessoas foram afetadas [...] Aparentemente, o servidor foi exposto na internet no dia 12 de maio de 2021 e foi descoberto pela equipe de segurança da Safety Detectives um mês depois", escrevem os pesquisadores.
Os pesquisadores entraram em contato com a Hariexpress no dia 1° de julho de 2021. Embora a empresa não tenha devidamente respondido o contato dos pesquisadores, eles corrigiram a falta de segurança do servidor antes da publicação do relatório.
Como os pesquisadores não sabem até quando o servidor ficou desprotegido, eles acreditam que número de informações vazadas pode ser ainda maior. "A última vez que verificamos o servidor Hariexpress para verificar seu status, ele expôs mais de 1,75 bilhão de registros e 610+ GB de dados confidenciais. Provavelmente [esse número] seria mais alto quando foi corrigido."
O impacto prático
Conforme concluíram os pesquisadores, não há como saber se cibercriminosos acessaram o servidor exposto. No entanto, uma violação de dados dessa relevância, que facilmente afeta milhões de usuários, compradores dos ecommerces clientes da Hariexpress, pode ser ter um impacto drástico nos negócios que utilizam a plataforma.
"Se você é brasileiro e comprou em qualquer plataforma de comércio eletrônico associada a Hariexpress, deve estar alerta para ameaças como ataques de phishing, tentativas de engenharia social e até furto físico de bens [já que endereços e históricos de compra foram vazados]", recomendam os pesquisadores.
Segundo a avaliação dos pesquisadores, a Hariexpress pode ser penalizada pela Lei Geral de Proteção de Dados (LGPD) em cerca de U$ 10 milhões (R$ 55 milhões).
"A lei se aplica a qualquer empresa ou pessoa que lida com dados de cidadãos brasileiros. As empresas que manuseiam incorretamente os dados terão que pagar multa máxima de 2% da receita do ano anterior, até um total de 50 milhões de reais (~ $ 10 milhões). A Hariexpress pode perder negócios devido a danos à reputação com um vazamento de tamanho considerável. Os proprietários de empresas confiaram na Hariexpress a proteção de seus meios de subsistência, e a Hariexpress falhou em manter essas informações seguras", concluem.
Fonte: SafetyDetectives.