Home
Tecnologia
Plataforma vaza 1,7 bilhão de dados sensíveis de e-commerces no Brasil
Tecnologia

Plataforma vaza 1,7 bilhão de dados sensíveis de e-commerces no Brasil

publisherLogo
Tecmundo
14/10/2021 16h49
icon_WhatsApp
icon_Twitter
icon_facebook
icon_email
https://timnews.com.br/system/images/photos/14727335/original/open-uri20211014-18-1w22j5s?1634230219
icon_WhatsApp
icon_Twitter
icon_facebook
icon_email
PUBLICIDADE

Uma falha de segurança em uma plataforma brasileira que integra marketplaces expôs mais de 1,7 bilhão de dados sensíveis de clientes e lojistas cadastrados em sites de comércio eletrônico. O montante de informações vazadas foi calculado em mais de 610 GB.

A descoberta foi feita pela equipe do especialista Anurag Sem, do Safety Detectives, um laboratório de cibersegurança que atua para ajudar a comunidade a se defender contra ameaças cibernéticas, e foi publicada na última terça-feira (12).

Na publicação, foi explicado que a falha crítica está no sistema da Hariexpress, uma empresa com sede em São Paulo (Capital) que realiza a integração de e-commerces com diferentes marketplaces. Uma má configuração do ElasticSearch, que é um mecanismo de pesquisa de código aberto, acabou deixando as chamadas PII (Informações de Identificação Pessoal, em português) abertas para acesso.

"O servidor ElasticSearch da Hariexpress foi deixado sem criptografia, sem nenhuma proteção por senha", diz trecho do relatório divulgado pelo Safety Detectives.

ElasticSearchA má configuração no ElasticSearch possibilitava o aceso aos PII

De acordo com o site da Hariexpress, ela atende várias das maiores companhias de vendas e que oferecem serviços para comércios eletrônicos no país, como é o caso do Mercado Livre, B2W Digital (Americanas, Submarino e outras), Amazon, Shopee e Magazine Luiza. A empresa também tem como cliente os Correios, que também tiveram dados expostos.

O que foi vazado?

A publicação do Safety Detectives explica que além de detalhes de compras e pedidos realizados nos e-commerces, foram vazadas informações pessoais de clientes como:

  • Nomes completos e nomes de usuário nas plataformas;
  • Endereço de e-mail;
  • Números de telefone;
  • Endereços de entrega completos;
  • Detalhes de faturamento (incluindo endereços de cobrança e o valor pago pelas mercadorias);
  • Imagens das mercadorias entregues.

No caso dos vendedores, foram expostas informações como:

  • Nomes completos dos vendedores e nomes de usuário na plataforma;
  • Endereços de e-mail;
  • Números de telefone;
  • Endereços comerciais e residenciais;
  • CNPJs;
  • CPFs;
  • Detalhes de faturamento (incluindo preço unitário e tempo de venda).

Além do montante de dados sensíveis, o relatório do Safety Detectives pontua que a falha de programação do ElasticSearch expôs PII como links para imagens de faturas (que incluía nomes e endereços de compradores e vendedores); nomes de usuários internos e senhas criptografadas (para cada conta Hariexpress de negócios) e até números de rastreamento de pedidos.

O laboratório de cibersegurança ainda trouxe capturas de tela para mostrar que as informações estavam mesmo acessíveis pelo ElasticSearch. Em um dos pedidos, foi possível acessar todos os detalhes de uma pessoa que comprou um "alongador peniano" no Mercado Livre. Confira, abaixo, as imagens borradas que comprovam os vazamentos.

"O vasto tamanho do servidor torna difícil saber exatamente quantas pessoas foram afetadas por esta violação. Sabemos que havia milhares de entradas de endereço de e-mail nos registros do servidor e, como tal, podemos supor que milhares de pessoas foram afetadas. No entanto, uma estimativa exata é difícil devido à presença de entradas de endereços de e-mail duplicados", diz outro trecho do documento.

Impactos do vazamento

Apesar de ser mais um dentre os vários vazamentos de dados que aconteceram em 2021, este caso foi considerado bastante sério pelo Safety Detectives. O grupo afirma que o servidor do Hariexpress pode ter sido exposto em 12 de maio de 2021 e ficou pelo menos um mês acessível, já que a equipe descobriu o problema após esse tempo. Os pesquisadores complementam que não é possível saber se hackers éticos, também chamados de "white hats", haviam descoberto a brecha de segurança antes.

"Uma violação de dados dessa magnitude poderia facilmente afetar centenas de milhares, senão milhões de usuários brasileiros da Hariexpress e compradores de comércios eletrônicos. O conteúdo do servidor que vazou também pode afetar os próprios negócios da empresa", defende o laboratório.

Por causa da magnitude do problema, o Safety Detectives orienta que os clientes dos comércios eletrônicos redobrem a atenção com tentativas de phishing e principalmente golpes utilizando engenharia social.

O grupo exemplificou que com as informações disponíveis, golpistas podem construir uma narrativa bem estruturada de que são funcionários dos Correios e precisam saber algum tipo de confirmação e pedir para entrarem em algum link malicioso, por exemplo.

Outro lado

O TecMundo entrou em contato com as empresas para verificar quais ações foram tomadas para tentar contornar o problema. Amazon, B2W Digital, Correios, Magazine Luiza, Mercado Livre e Shopee ainda não responderam aos questionamentos até a publicação desta matéria.

A reportagem também entrou em contato com a Hariexpress para saber se a brecha de segurança foi corrigida, mas até o fechamento da reportagem ainda não recebemos um retorno.

Esse texto não reflete, necessariamente, a opinião do TIM NEWS, da TIM ou de suas afiliadas.
icon_WhatsApp
icon_Twitter
icon_facebook
icon_email
PUBLICIDADE
Confira também