Brecha expõe 1,7 bilhão de registros de plataforma brasileira de e-commerce

Um servidor desprotegido revelou 1,7 bilhão de registros de vendedores, usuários e clientes da Hariexpress, uma integradora brasileira de e-commerce. Na infraestrutura disponível livremente na internet estavam dados sensíveis de usuários e parceiros da plataforma, que é utilizada para realizar vendas a partir das principais redes de comércio eletrônico do país; entre as plataformas disponíveis estão Mercado Livre, Amazon, B2W Digital, Magazine Luiza e Nuvemshop.

• Código-fonte e informações confidenciais da Twitch vazam na internet
• Vazamento de dados atinge 38 mil clientes da Multilaser Giga
• 14 mil contas de Gmail são alvos de ataque virtual russo com isca para phishing

A descoberta da infraestrutura foi feita por Anurag Sen, pesquisador que liderou a equipe de segurança da Safety Detectives. Trata-se, segundo a analisem de um servidor ElasticSearch que parecia conter a gigantesca quantidade de detalhes sobre as transações envolvendo os sistemas da Hariexpress, com direito tanto a dados pessoais de consumidores dos produtos de marketplace quanto dos administradores destes espaços.

Do primeiro grupo, fazem parte do vazamento informações como nomes completos, telefones, endereços e e-mails, assim como detalhes de compras realizadas, valores pagos, datas e até mesmo fotos de produtos no ato da entrega, assim como códigos e links de rastreamento de pacotes. Informações bancárias, entretanto, não fazem parte do volume, que, por outro lado, contém pedidos relacionados a itens íntimos e sexuais, assim como registros sensíveis que não deveriam estar disponíveis de forma pública.

No segundo conjunto, entretanto, está a exposição mais grave. O servidor contém, além dos dados pessoais dos parceiros da plataforma e documentos como CNPJ e CPF, as datas, horários e preços dos produtos vendidos, assim como cópias de notas fiscais. Para piorar, nomes de usuários e senhas para o perfil na plataforma Hariexpress também foram localizados pelos pesquisadores, aumentando ainda mais os perigos envolvidos na abertura e possibilitando golpes em outras plataformas, caso as credenciais sejam compartilhadas.

De acordo com o levantamento do Safety Detectives, é impossível saber exatamente quantos indivíduos foram afetados pelo vazamento, mas diante de um total de mais de 1,75 bilhão de registros, os especialistas falam em, pelo menos, alguns milhões de brasileiros atingidos. Para piorar as coisas, os servidores localizados seguiam sendo atualizados em tempo real com mais e mais informações, estando disponível na internet desde maio deste ano e aumentando o total de dados expostos a cada dia.

O relatório dos pesquisadores afirma que um contato com representantes da Hariexpress foi feito no início de julho, com a empresa solicitando um número de telefone e cessando a comunicação. Ao receber as informações sobre o caso, em 27 de setembro, o Canaltech também tentou contato com a companhia por e-mail e telefone, sem sucesso; um retorno veio apenas na última sexta (08), depois que representantes da companhia foram procurados por meio da rede social LinkedIn. Um deles enviou um novo endereço de e-mail, para o qual as informações sobre o caso foram enviadas, mas não houve retorno até a publicação da reportagem — os dados permanecem expostos e o servidor, aberto.

Cuidados que você precisa ter

A Safety Detectives aponta que, apesar da exposição dos dados, não é possível precisar se terceiros tiveram acesso ao volume, além dos próprios pesquisadores. Aberturas desse tipo, principalmente com dados que identificam os usuários diretamente, podem levar a golpes de phishing e tentativas de engenharia social, principalmente, em nome de sites de comércio eletrônico e da própria Hariexpress.

Por isso, a recomendação aos usuários de marketplaces integrados à plataforma é de atenção quanto a e-mails, mensagens diretas e telefonemas que peçam dados, cadastros ou informações de pagamento. Mesmo que citem informações reais de compras realizadas ou informações pessoais tais solicitações devem ser atendidas apenas caso o indivíduo tenha certeza da veracidade da comunicação.

Os pesquisadores também alertam quanto à possibilidade de crimes no mundo real, com endereços expostos podendo levar a roubos em domicílios e empresas, enquanto registros de compras, principalmente aquelas envolvendo produtos íntimos ou sensíveis, podendo servir como abertura para extorsão. Novamente, a recomendação é de cautela quanto a contatos desse tipo.

Enquanto isso, aos parceiros, o ideal é trocar senhas de acesso aos sistemas da integradora e, também, as credenciais de outros perfis que compartilhem os mesmos dados. Combinações desse tipo devem ser únicas e, de preferência, aleatórias, combinando letras maiúsculas e minúsculas, símbolos e números. Vale a pena, ainda, ativar sistemas de autenticação em duas etapas.

Fonte: Safety Detectives