Marketing para Advogados
CMVR_Novembro 2021

Falha em serviço que integra Amazon, Mercado Livre e outros expõe 1,7 bilhão de registros, dizem pesquisadores

Por Equipe G. Gospel em 21/10/2021 às 05:57:26
Hariexpress manteve base de dados pública após erro em configuração, alerta laboratório de segurança Safety Detectives. Com foco em lojistas de marketplace, empresa também oferece integrações com Americanas, Shopee e Correios. Segundo laboratório, incidente da Hariexpress expôs dados como nome, e-mail e telefone de milhares clientes

Altieres Rohr/G1

Uma falha no banco de dados da Hariexpress, plataforma usada por algumas das principais varejistas do país, expôs 1,75 bilhão de registros, segundo o laboratório de cibersegurança Safety Detectives. O erro tornou públicas informações como nome, telefone e endereços de clientes e vendedores.

Os pesquisadores identificaram uma configuração incorreta na base de dados da Hariexpress, cujo serviço integra marketplaces de empresas como Amazon, Mercado Livre, B2W Digital, Shopee e Magazine Luiza. As lojas não têm relação com o incidente.

A plataforma da Hariexpress permite que vendedores exibam seus produtos em diversas varejistas. A integração, porém, faz a Hariexpress ter acesso a informações sobre lojistas, clientes e pedidos.

Lei Geral de Proteção de Dados: o que muda para os cidadãos? Veja perguntas e respostas

Vazamento de dados: guia para se proteger e tirar dúvidas

Sua conta no WhatsApp está protegida? Faça o teste e descubra

O Safety Detectives afirma que o tamanho da base de dados dificulta saber com precisão quantas pessoas foram afetadas, mas estima que o incidente afeta "centenas de milhares, se não milhões de usuários e compradores brasileiros".

"Sabemos que havia milhares de endereços de e-mail nos registros do servidor e, como tal, podemos supor que milhares de pessoas foram afetadas", disse o laboratório.

"No entanto, uma estimativa exata é difícil devido à presença de endereços de e-mails duplicados".

O que é a Hariexpress?

A Hariexpress oferece um serviço em que comerciantes podem automatizar vendas por meio de marketplaces, em que grandes varejistas exibem produtos de terceiros.

Para facilitar o processo, a Hariexpress oferece uma plataforma para vendedores cadastrarem seus produtos de uma vez em várias lojas. Além das já citadas, a empresa tem integração com as plataformas tinyERP, Bling! e Nuvemshop. A Hariexpress também possui integração com os Correios.

Os dados ficaram expostos por conta de uma configuração incorreta da Hariexpress no servidor, que estava sem criptografia, nem senha.

VÍDEO: Como acontece um vazamento de dados?

O que foi exposto?

A base da Hariexpress tinha 610 gigabytes de informações, segundo o Safety Detectives. Entre os registros encontrados, estão dados pessoais de clientes e lojistas, como:

Nome completo (e nome de usuário)

E-mail

Telefone

Endereço

Endereço de cobrança e valores de pedidos

Imagens dos produtos entregues

Ainda de acordo com o laboratório, os dados de vendedores incluíam CNPJ, CPF e detalhes das cobranças. Eles afirmam que a base de dados também exibia links para faturas – que reúnem endereços de clientes e empresas –, senhas criptografadas e códigos de rastramento de pedidos.

Os pesquisadores apontam que os registros na base de dados estavam em português e tinham várias referências à Hariexpress. O laboratório diz ter descoberto a falha em junho, mas alerta que, aparentemente, as informações estavam expostas ao menos desde 12 de maio.

O grupo informou que não conseguiu tratar do incidente no servidor com a Hariexpress.

Qual é o impacto da falha?

A maioria das informações expostas pertence a clientes de lojistas que usavam a plataforma da Hariexpress.

Ao se tornarem públicos, os e-mails podem ser usados em phishing e golpes de engenharia social, em que vítimas são induzidas a revelar mais dados particulares em sites criados por golpistas. As informações também pode ser aproveitadas para disseminar boletos falsos, por exemplo.

Para os lojistas, há o risco de pedidos falsos de reembolso e roubos de conta. Os pesquisadores também apontam que a falha pode levar a casos de espionagem corporativa, já que empresas poderiam buscar detalhes sobre produtos mais vendidos por seus concorrentes.

O g1 entrou em contato com a Hariexpress, mas não houve retorno até a publicação da reportagem.

Fonte: G1

Comunicar erro
Marketing para Advogados_2

Comentários

Supletivo_01 - Local 3