Plataforma de integração brasileira vazou mais de 1,75 bilhões de arquivos confidenciais - OSTEC

This post is also available in: Português

Na última terça-feira, 12, uma equipe de pesquisadores de segurança digital revelou um enorme vazamento de dados, que partiu da Hariexpress, plataforma brasileira responsável por integrar diversos sites de e-commerce que atuam no Brasil.

A descoberta foi feita pela Safety Detectives, laboratório responsável por monitorar a segurança de várias plataformas e possíveis vazamentos de informações. A equipe informou que o vazamento aconteceu no mês de maio e foi identificado apenas em junho.

Segundo o relatório, uma vulnerabilidade nos servidores da plataforma brasileira foi responsável por expor mais de 1,75 bilhão de registros de várias lojas virtuais, incluindo empresas conceituadas, como Amazon, Mercado Livre, Magalu e até mesmo os Correios.

O vazamento aconteceu no servidor ElasticSearch da Hariexpress, que não contava com criptografia e nem estava protegido por senha, o que resultou na exposição de uma quantidade expressiva de dados, tais como:

Nomes completos e nomes de usuário;
Endereço de e-mail;
Números de telefone;
Endereços de entrega completos;
Detalhes de faturamento, incluindo endereços de cobrança e o valor pago pelas mercadorias;
Imagens das mercadorias entregues.

O servidor aberto também incluiu as PII das empresas que usam a plataforma Hariexpress. Vazaram informações específicas de fornecedores, como:

Nomes completos dos vendedores e nomes de usuário;
Endereços de e-mail dos vendedores;
Números de telefone dos vendedores;
Endereços comerciais e residenciais dos vendedores;
Números CNPJ dos vendedores;
Números de CPF dos vendedores;
Detalhes de faturamento, incluindo preço unitário e tempo de venda.

Havia outros registros no ElasticSearch aberto do Hariexpress, que também expunham PIIs:

Links para imagens de faturas, que incluía nomes e endereços de compradores e vendedores;
Nome de usuário interno e senhas criptografadas, para cada conta Hariexpress de negócios;
Números de rastreamento de pedido.

Os detalhes do pedido continham uma longa lista de dados pertencentes a compradores e vendedores de comércio eletrônico. Confira exemplos de detalhes de pedidos que vazaram:

Os detalhes do pedido que vazaram contêm muitas PII do consumidor e do fornecedor. Imagem/Reprodução: Safety Detectives.

Informações incluindo um número de CPF. Imagem/Reprodução: Safety Detectives.

Em outros lugares, imagens de faturas e faturas de serviço de correio vazaram as PII de compradores e vendedores de comércio eletrônico.

Imagens de faturas, incluindo faturas de entrega. Imagem/Reprodução: Safety Detectives.

A violação afetou as empresas de comércio eletrônico de outras maneiras também, com as credenciais da conta Hariexpress dos fornecedores incluídas no conteúdo dos logs do servidor. Os números do CNPJ dos fornecedores também podem ser consultados.

Longas listas de credenciais de conta de usuário. Imagem/Reprodução: Safety Detectives.

No total, mais de 610 GB de informações foram vazadas na internet, sendo que a quantidade de pessoas afetadas ainda é desconhecida. De acordo com os investigadores da Safety Detectives, a empresa com sede na capital paulista, não se posicionou sobre a enorme exposição de dados pessoais.

Fonte: Safety Detectives.

This post is also available in: Português

Diagnóstico que avalia a nível de conformidade com a Lei Geral de Proteção de Dados

Fazer diagnóstico

Ebooks 5 Dicas para evitar sequestro de dados

Nossas 5 dicas fundamentais para evitar sequestro de dados

Baixar eBook

Ebooks 10 dicas essenciais para aquisição de firewalls

Conheça os principais tópicos a serem considerados na aquisição de um firewall.

Baixar eBook

Ebooks Guia Lei Geral de Proteção de Dados

Documento completo para ambientalização à Lei Geral de Proteção de Dados

Baixar eBook

A queda das redes sociais

Novidades de segurança do Windows 11

Cadastre-se em nossa newsletter