Um servidor mal configurado da Hariexpress, integradora brasileria de marketplaces de e-commerce, expôs mais de 1,75 bilhão de registros de vendedores, usuários e clientes da plataforma, que é utilizada pelos principais varejistas de comércio online do país, entre eles o Mercado Livre, Magazine Luiza, B2W Digital, Amazon, tinyERP. Bling! e Nuvemshop. Os Correios são outro cliente da plataforma e também teve seus dados expostos.
O vazamento foi descoberto por Anurag Sen, pesquisador da equipe de segurança da Safety Detectives. Trata-se, segundo ele, de um servidor ElasticSearch que parecia conter uma gigantesca quantidade de transações, incluindo detalhes de pedidos de clientes, com nomes completos, endereços de e-mail, endereços de entrega, produtos adquiridos.
Além de vazar dados consumidores, foram expostos também um vasto conjunto de dados de fornecedores de plataforma, também com nomes completos, endereços de e-mail, endereços comerciais e residenciais, números de CNPJ e CFP, as datas, horários e preços dos produtos vendidos, assim como cópias de notas fiscais.
Veja isso
Banco Central informa vazamento de chaves Pix
Vazamento de dados do governo cresce 237% no 2º trimestre
Segundo a Safety Detectives, informações bancárias não fazem parte do volume. Mas, por outro lado, contém pedidos relacionados a itens íntimos e sexuais, assim como registros sensíveis que não deveriam estar disponíveis publicamente.
Os pesquisadores disseram que o servidor da Hariexpress foi deixado sem criptografia e nenhuma proteção por senha. “A última vez que acessamos o servidor da Hariexpress para verificar seu status, constatamos que haviam sido expostos mais de 1,7 bilhão de registros e mais 610 GB de dados confidenciais”, disse Sen.
A Hariexpress tem sede em São Paulo e integra vários processos em uma única plataforma para melhorar a eficiência e a capacidade operacional dos varejistas com mais de uma loja de comércio eletrônico. Os recursos incluem clone de loja e gerenciamento de estoque unificado, sem mencionar a análise de ERP que informa sobre o desempenho dos negócios.
Para ler o relatório completo das descobertas feitas pela equipe de segurança da Safety Detectives acesse o link:
https://www.safetydetectives.com/blog/hariexpress-leak-report/