Topo

Plataforma que atende Americanas, Amazon e Correios expõe 1,7 bi de dados

Dados estiveram expostos, dizem pesquisadores - Divulgação/Safety Detectives
Dados estiveram expostos, dizem pesquisadores Imagem: Divulgação/Safety Detectives

Abinoan Santiago

Colaboração para Tilt, em Florianópolis

20/10/2021 12h10

Um relatório divulgado por um laboratório independente de segurança digital que reúne pesquisadores de diferentes partes do mundo identificou que a plataforma de vendas online Hariexpress, parceira de gigantes do varejo que atuam no Brasil, como Magalu, Mercado Livre e Amazon, expôs mais de 1,75 bilhão de dados confidenciais.

As informações foram compartilhadas pelo grupo Safety Detectives (Detetives de Segurança, em tradução livre). Os dados equivalem a 610 gigabytes de informações.

Em seu portfólio, a plataforma informa que atende serviços de comércio eletrônicos da Amazon, B2W Digital (Americanas), Bling!, Nuvemshop, Magalu, Mercado Livre, Shopee e TinyERP. Além delas, os Correios também possuem parceria.

Tilt entrou em contato por telefone e email com a Hariexpress, que tem sede em São Paulo, e aguarda o posicionamento da empresa sobre o caso. O texto será atualizado caso a companhia envie seu posicionamento.

O que o levantamento mostra

O Safety Detectives é um serviço pro bono (pelo bem público) independente que reúne pesquisadores com intenção de testar antivírus e sistemas de segurança de internet. O seu relatório informa que a Hariexpress funciona como um serviço integrador de vários mercados online, permitindo aos comerciantes a organização e automatização em diferentes lojas.

Os pesquisadores verificaram uma má configuração em um servidor da Hariexpress, chamado de ElasticSearch, que é uma espécie de mecanismo de buscas dentro dos sites. Ele estava sem criptografia (camada extra de segurança que, simplificando bem, envolve embaralhar os dados para que eles fiquem protegidos) e sem qualquer proteção por senha.

Isso, segundo o documento, "expôs uma grande quantidade de PII [Informação Pessoal Identificável] de clientes de comércio eletrônico e usuários da plataforma".

O Safety Detectives informou que os seus sistemas identificaram a exposição das informações em maio de 2021, mas o relatório foi divulgado em outubro em razão de os dados estarem em português.

O que foi exposto?

De acordo com o relatório, estiveram vulneráveis os seguintes dados de compradores intermediados pela empresa:

  • Nomes completos; e "apelidos" da conta (nomes de usuário)
  • Endereço de e-mail
  • Números de telefone
  • Endereços de entrega completos
  • Detalhes de faturamento, incluindo endereços de cobrança e o valor pago pelas mercadorias
  • Imagens das mercadorias entregues.

Vulnerabilidade foi além e também identificou dados vazados de fornecedores:

  • Nomes completos dos vendedores; e "apelidos" da conta (nomes de usuário)
  • Endereços de e-mail dos vendedores
  • Números de telefone dos vendedores
  • Endereços comerciais / residenciais dos vendedores
  • Números CNPJ dos vendedores; um número de identificação para empresas brasileiras
  • Números de CPF dos vendedores (número fiscal)
  • Detalhes de faturamento, incluindo preço unitário e tempo de venda.

"O vazamento de detalhes do pedido pode ser um problema de várias maneiras. Alguns registros revelam detalhes de compras confidenciais de clientes de comércio eletrônico. Os pedidos feitos em particular agora revelam informações pessoais que podem ser consideradas constrangedoras ou prejudiciais", analisa o documento.

Para os pesquisadores, essa exposição pode fazer os clientes e vendedores serem alvos de golpes. O relatório não consegue apontar quanto do 1,7 bilhão de dados representa em pessoas físicas ou jurídicas.

"Os usuários do Hariexpress podem ser alvos de tentativas de phishing e golpes usando essas informações. Por exemplo, um hacker pode se passar por um cliente insatisfeito ao solicitar um reembolso ou um novo pedido, citando a extensa lista de registros de pedidos e informações de fatura", descreveu o grupo.

Vulnerabilidade preocupa, diz especialista

Para Hiago Kin, presidente da Abraseci (Associação Brasileira de Segurança Cibernética), "esse, provavelmente, é o maior caso sólido e constatado de vazamento de dados em 2021".

Ele considera que os pesquisadores do Safety Detectives "fazem um trabalho sério" e enxerga com preocupação o detalhamento dos dados vazados.

"As informações obtidas são as mais completas possíveis, desde endereços a dados fiscais e financeiros, não só de compradores, mas de lojistas, e os danos ao mercado de crédito e à população como um todo são incalculáveis", afirmou Kin.

O especialista destaca que "a falta de configuração de tecnologias quanto à segurança é o ponto mais frequente de casos de vazamentos de dados". O presidente alerta para que as empresas parceiras da Hariexpress realizem constantes auditorias para manter os seus dados protegidos.

"Se as empresas impactadas com o vazamento tivessem uma política de auditoria dos seus fornecedores quanto aos testes de segurança, provavelmente seria evidenciada a vulnerabilidade", completa.

O que dizem as empresas

Em nota enviada a Tilt, a Amazon diz que leva "muito a sério a segurança de dados". "Desenvolvemos todos os nossos sistemas e processos considerando a segurança da informação. Com relação a este episódio, fomos informados pela HariExpress que não ocorreu o vazamento de nenhum dado da Amazon", acrescenta.

A Americanas informou que "desconhece a ocorrência de qualquer vazamento de dados de seus clientes ou vulnerabilidade em seu ambiente. A informação também foi certificada pela Harexpress na última semana" e "segue oferecendo uma plataforma íntegra e segura, aderente a toda legislação vigente".

A Bling! pontua que acompanha "as informações pela imprensa", e que não tem "como comentar supostas ocorrências em ambientes de terceiros". "Reforçamos que nossos ambientes não apresentaram nenhuma situação de vazamento", assegura.

Os Correios enviaram nota dizendo que "até o momento, não há indícios de violação de informações — de pessoas físicas ou jurídicas — oriundas da base de dados da estatal. O sistema dos Correios que mantém integração ao servidor citado atua apenas na aferição de peso de encomendas e precificação, não havendo o processamento de dados pessoais".

A Nuvemshop afirmou que "está ciente do acontecido e já entrou em contato com a Hariexpress pedindo esclarecimentos, mas até o momento não obteve retorno da empresa. A Nuvemshop reforça que está tomando providências para resguardar a privacidade de seus usuários e reitera o seu compromisso com a segurança e proteção de dados".

A empresa Magalu esclareceu que "contou com a HariExpress como um de seus integradores por um período de dez meses. Durante esse período, a HariExpress adicionou apenas 30 sellers [adicionar produtos] à plataforma da companhia e registrou 12 vendas. Até este momento, o Magalu não registrou qualquer vazamento de dados".

Já o Mercado Livre suspendeu preventivamente a operação da Hariexpress em sua plataforma, "tão logo soube do ocorrido". A empresa sustenta que a plataforma "atua como integradora de marketplaces, presta serviço exclusivamente para vendedores que anunciam produtos em diferentes plataformas do mercado, dentre elas o Mercado Livre".

Também em nota, a Shopee disse que a "HariExpress já informou que os usuários da empresa não foram impactados. A Shopee leva a privacidade dos dados muito a sério e está empenhada em garantir a segurança e proteção dos dados de todos no ecossistema".

A Tiny ERP comunicou que os clientes da empresa "podem utilizar soluções de terceiros integradas e, neste caso, o cliente é o responsável pelo compartilhamento e autorização de acesso aos dados da sua conta no Tiny via API de integração". A empresa garante não possuir "vínculo com a empresa Hariexpress" e nega vazamento de dados.