Falha em serviço que integra Amazon, Mercado Livre e outros expõe 1,7 bilhão de registros, dizem pesquisadores

Uma falha no banco de dados da Hariexpress, plataforma usada por algumas das principais varejistas do país, expôs 1,75 bilhão de registros, segundo o laboratório de cibersegurança Safety Detectives. O erro tornou públicas informações como nome, telefone e endereços de clientes e vendedores.

Os pesquisadores identificaram uma configuração incorreta na base de dados da Hariexpress, cujo serviço integra marketplaces de empresas como Amazon, Mercado Livre, B2W Digital, Shopee e Magazine Luiza. As lojas não têm relação com o incidente.

A plataforma da Hariexpress permite que vendedores exibam seus produtos em diversas varejistas. A integração, porém, faz a Hariexpress ter acesso a informações sobre lojistas, clientes e pedidos.

• Lei Geral de Proteção de Dados: o que muda para os cidadãos? Veja perguntas e respostas
• Vazamento de dados: guia para se proteger e tirar dúvidas
• Sua conta no WhatsApp está protegida? Faça o teste e descubra

O Safety Detectives afirma que o tamanho da base de dados dificulta saber com precisão quantas pessoas foram afetadas, mas estima que o incidente afeta “centenas de milhares, se não milhões de usuários e compradores brasileiros”.

“Sabemos que havia milhares de endereços de e-mail nos registros do servidor e, como tal, podemos supor que milhares de pessoas foram afetadas”, disse o laboratório.

“No entanto, uma estimativa exata é difícil devido à presença de endereços de e-mails duplicados”.

O que é a Hariexpress?

A Hariexpress oferece um serviço em que comerciantes podem automatizar vendas por meio de marketplaces, em que grandes varejistas exibem produtos de terceiros.

Para facilitar o processo, a Hariexpress oferece uma plataforma para vendedores cadastrarem seus produtos de uma vez em várias lojas. Além das já citadas, a empresa tem integração com as plataformas tinyERP, Bling! e Nuvemshop. A Hariexpress também possui integração com os Correios.

Os dados ficaram expostos por conta de uma configuração incorreta da Hariexpress no servidor, que estava sem criptografia, nem senha.

VÍDEO: Como acontece um vazamento de dados?

O que foi exposto?

A base da Hariexpress tinha 610 gigabytes de informações, segundo o Safety Detectives. Entre os registros encontrados, estão dados pessoais de clientes e lojistas, como:

• Nome completo (e nome de usuário)
• E-mail
• Telefone
• Endereço
• Endereço de cobrança e valores de pedidos
• Imagens dos produtos entregues

Ainda de acordo com o laboratório, os dados de vendedores incluíam CNPJ, CPF e detalhes das cobranças. Eles afirmam que a base de dados também exibia links para faturas – que reúnem endereços de clientes e empresas –, senhas criptografadas e códigos de rastramento de pedidos.

Os pesquisadores apontam que os registros na base de dados estavam em português e tinham várias referências à Hariexpress. O laboratório diz ter descoberto a falha em junho, mas alerta que, aparentemente, as informações estavam expostas ao menos desde 12 de maio.

O grupo informou que não conseguiu tratar do incidente no servidor com a Hariexpress.

Qual é o impacto da falha?

A maioria das informações expostas pertence a clientes de lojistas que usavam a plataforma da Hariexpress.

Ao se tornarem públicos, os e-mails podem ser usados em phishing e golpes de engenharia social, em que vítimas são induzidas a revelar mais dados particulares em sites criados por golpistas. As informações também pode ser aproveitadas para disseminar boletos falsos, por exemplo.

Para os lojistas, há o risco de pedidos falsos de reembolso e roubos de conta. Os pesquisadores também apontam que a falha pode levar a casos de espionagem corporativa, já que empresas poderiam buscar detalhes sobre produtos mais vendidos por seus concorrentes.