Uma falha no banco de dados da Hariexpress, plataforma usada por algumas das principais varejistas do país, expôs 1,75 bilhão de registros, segundo o laboratório de cibersegurança Safety Detectives. O erro tornou públicas informações como nome, telefone e endereços de clientes e vendedores.
Os pesquisadores identificaram uma configuração incorreta na base de dados da Hariexpress, cujo serviço integra marketplaces de empresas como Amazon, Mercado Livre, B2W Digital, Shopee e Magazine Luiza. As lojas não têm relação com o incidente.
A plataforma da Hariexpress permite que vendedores exibam seus produtos em diversas varejistas. A integração, porém, faz a Hariexpress ter acesso a informações sobre lojistas, clientes e pedidos.
- Lei Geral de Proteção de Dados: o que muda para os cidadãos? Veja perguntas e respostas
- Vazamento de dados: guia para se proteger e tirar dúvidas
- Sua conta no WhatsApp está protegida? Faça o teste e descubra
O Safety Detectives afirma que o tamanho da base de dados dificulta saber com precisão quantas pessoas foram afetadas, mas estima que o incidente afeta “centenas de milhares, se não milhões de usuários e compradores brasileiros”.
“Sabemos que havia milhares de endereços de e-mail nos registros do servidor e, como tal, podemos supor que milhares de pessoas foram afetadas”, disse o laboratório.
“No entanto, uma estimativa exata é difícil devido à presença de endereços de e-mails duplicados”.
O que é a Hariexpress?
A Hariexpress oferece um serviço em que comerciantes podem automatizar vendas por meio de marketplaces, em que grandes varejistas exibem produtos de terceiros.
Para facilitar o processo, a Hariexpress oferece uma plataforma para vendedores cadastrarem seus produtos de uma vez em várias lojas. Além das já citadas, a empresa tem integração com as plataformas tinyERP, Bling! e Nuvemshop. A Hariexpress também possui integração com os Correios.
Os dados ficaram expostos por conta de uma configuração incorreta da Hariexpress no servidor, que estava sem criptografia, nem senha.
VÍDEO: Como acontece um vazamento de dados?
O que foi exposto?
A base da Hariexpress tinha 610 gigabytes de informações, segundo o Safety Detectives. Entre os registros encontrados, estão dados pessoais de clientes e lojistas, como:
- Nome completo (e nome de usuário)
- Telefone
- Endereço
- Endereço de cobrança e valores de pedidos
- Imagens dos produtos entregues
Ainda de acordo com o laboratório, os dados de vendedores incluíam CNPJ, CPF e detalhes das cobranças. Eles afirmam que a base de dados também exibia links para faturas – que reúnem endereços de clientes e empresas –, senhas criptografadas e códigos de rastramento de pedidos.
Os pesquisadores apontam que os registros na base de dados estavam em português e tinham várias referências à Hariexpress. O laboratório diz ter descoberto a falha em junho, mas alerta que, aparentemente, as informações estavam expostas ao menos desde 12 de maio.
O grupo informou que não conseguiu tratar do incidente no servidor com a Hariexpress.
Qual é o impacto da falha?
A maioria das informações expostas pertence a clientes de lojistas que usavam a plataforma da Hariexpress.
Ao se tornarem públicos, os e-mails podem ser usados em phishing e golpes de engenharia social, em que vítimas são induzidas a revelar mais dados particulares em sites criados por golpistas. As informações também pode ser aproveitadas para disseminar boletos falsos, por exemplo.
Para os lojistas, há o risco de pedidos falsos de reembolso e roubos de conta. Os pesquisadores também apontam que a falha pode levar a casos de espionagem corporativa, já que empresas poderiam buscar detalhes sobre produtos mais vendidos por seus concorrentes.