Economia

Falha em serviço que integra Amazon, Mercado Livre e outros expõe 1,7 bilhão de registros, dizem pesquisadores

O erro tornou públicas informações como nome, telefone e endereços de clientes e vendedores


DD
QR_MERCADOLIVRE
Crédito: DD

Uma falha no banco de dados da Hariexpress, plataforma usada por algumas das principais varejistas do país, expôs 1,75 bilhão de registros, segundo o laboratório de cibersegurança Safety Detectives. O erro tornou públicas informações como nome, telefone e endereços de clientes e vendedores.

Os pesquisadores identificaram uma configuração incorreta na base de dados da Hariexpress, cujo serviço integra marketplaces de empresas como Amazon, Mercado Livre, B2W Digital, Shopee e Magazine Luiza. As lojas não têm relação com o incidente (veja o posicionamento mais abaixo).

A plataforma da Hariexpress permite que vendedores exibam seus produtos em diversas varejistas. A integração, porém, faz a Hariexpress ter acesso a informações sobre lojistas, clientes e pedidos.

O Safety Detectives afirma que o tamanho da base de dados dificulta saber com precisão quantas pessoas foram afetadas, mas estima que o incidente afeta "centenas de milhares, se não milhões de usuários e compradores brasileiros".

O que é a Hariexpress?

A Hariexpress oferece um serviço em que comerciantes podem automatizar vendas por meio de marketplaces, em que grandes varejistas exibem produtos de terceiros.

Para facilitar o processo, a Hariexpress tem uma plataforma para vendedores cadastrarem seus produtos de uma vez em várias lojas. Além das já citadas, a empresa tem integração com as plataformas tinyERP, Bling! e Nuvemshop. A Hariexpress também possui integração com os Correios.

O que foi exposto?

A base da Hariexpress tinha 610 gigabytes de informações, segundo o Safety Detectives. Entre os registros encontrados, estão dados pessoais de clientes e lojistas, como:

Nome completo (e nome de usuário)
E-mail
Telefone
Endereço
Endereço de cobrança e valores de pedidos
Imagens dos produtos entregues
Ainda de acordo com o laboratório, os dados de vendedores incluíam CNPJ, CPF e detalhes das cobranças. Eles afirmam que a base de dados também exibia links para faturas – que reúnem endereços de clientes e empresas –, senhas criptografadas e códigos de rastramento de pedidos.


Os pesquisadores apontam que os registros na base de dados estavam em português e tinham várias referências à Hariexpress. O laboratório diz ter descoberto a falha em junho, mas alerta que, aparentemente, as informações estavam expostas ao menos desde 12 de maio.

O grupo informou que não conseguiu tratar do incidente no servidor com a Hariexpress.

Qual é o impacto da falha?

A maioria das informações expostas pertence a clientes de lojistas que usavam a plataforma da Hariexpress.

Ao se tornarem públicos, os e-mails podem ser usados em mensagens falsas e golpes de engenharia social, em que vítimas são induzidas a revelar mais dados particulares em sites criados por golpistas. As informações também pode ser aproveitadas para disseminar boletos falsos, por exemplo.

Para os lojistas, há o risco de pedidos falsos de reembolso e roubos de conta. Os pesquisadores também apontam que a falha pode levar a casos de espionagem corporativa, já que empresas poderiam buscar detalhes sobre produtos mais vendidos por seus concorrentes.

O g1 entrou em contato com a Hariexpress, mas não houve retorno até a publicação da reportagem.


Galeria de Fotos


Notícias relevantes: