Integradora brasileira de e-commerce tem 1,75 bilhões de registros vazados

Um servidor mal configurado da Hariexpress, integradora brasileria de marketplaces de e-commerce, expôs mais de 1,75 bilhão de registros de vendedores, usuários e clientes da plataforma, que é utilizada pelos principais varejistas de comércio online do país, entre eles o Mercado Livre, Magazine Luiza, B2W Digital, Amazon, tinyERP. Bling! e Nuvemshop. Os Correios são outro cliente da plataforma e também teve seus dados expostos.

O vazamento foi descoberto por Anurag Sen, pesquisador da equipe de segurança da Safety Detectives. Trata-se, segundo ele, de um servidor ElasticSearch que parecia conter uma gigantesca quantidade de transações, incluindo detalhes de pedidos de clientes, com nomes completos, endereços de e-mail, endereços de entrega, produtos adquiridos.

Além de vazar dados consumidores, foram expostos também um vasto conjunto de dados de fornecedores de plataforma, também com nomes completos, endereços de e-mail, endereços comerciais e residenciais, números de CNPJ e CFP, as datas, horários e preços dos produtos vendidos, assim como cópias de notas fiscais. Segundo a Safety Detectives, informações bancárias não fazem parte do volume. Mas, por outro lado, contém pedidos relacionados a itens íntimos e sexuais, assim como registros sensíveis que não deveriam estar disponíveis publicamente.

Os pesquisadores disseram que o servidor da Hariexpress foi deixado sem criptografia e nenhuma proteção por senha. “A última vez que acessamos o servidor da Hariexpress para verificar seu status, constatamos que haviam sido expostos mais de 1,7 bilhão de registros e mais 610 GB de dados confidenciais”, disse Sen. A Hariexpress tem sede em São Paulo e integra vários processos em uma única plataforma para melhorar a eficiência e a capacidade operacional dos varejistas com mais de uma loja de comércio eletrônico.