Um servidor da integradora de e-commerce brasileira Hariexpress vazou 1,75 bilhão (610 GB) de dados de vendedores, usuários e clientes dos maiores marketplaces do País, segundo um relatório da SafetyDetectives. Dentre os parceiros que foram expostos estão Mercado Livre (MELI34), Amazon (AMZO34), Shopee, Magazine Luiza (MGLU3), além dos Correios.
Devido à infraestrutura desprotegida, dados sensíveis de usuários e parceiros da Hariexpress estavam disponíveis na internet. De acordo com o relatório, foram abertos detalhes de pedidos, como nomes, e-mails, endereços, descrição de produtos comprados, dados de vendedores, CPFs e CNPJs.
A plataforma do hub de marketplaces é utilizada para realizar vendas a partir das principais redes de comércio eletrônico do país, por isso reúne todas as informações e as contas dos vendedores e usuários. De acordo com o Valor Econômico, apesar da exposição dos registros, não é possível afirmar que os dados tenham sido capturados por hackers.
Segundo a SafetyDetectives, o servidor ElasticSearch da Hariexpress foi deixado sem criptografia ou proteção de senha. A estimativa é que milhões de brasileiros tenham sido atingidos. Os servidores estavam sendo atualizados em tempo real, disponível na internet desde maio deste ano e aumentando o total de dados expostos a cada dia.
Em resposta ao Valor, a Hariexpress afirmou que estava “apurando os fatos” com setor de TI da empresa, “para entender a magnitude do ocorrido”. “Estamos empenhados em esclarecer os fatos e corrigir as falhas expostas.”
E-commerce com dados expostos
Em resposta ao jornal, o Magazine Luiza disse que “contou com a Hariexpress como um de seus integradores por um período de dez meses”. Nesse tempo, o Magalu informa que a empresa adicionou apenas 30 sellers à plataforma da companhia e registrou 12 vendas. “Até este momento, o Magalu não registrou qualquer vazamento de dados e mantém constante monitoramento da segurança de suas informações”.
Já o Mercado Livre respondeu ao Valor que é “comprometido com a segurança e proteção de dados dos seus usuários e já solicitou à Hariexpress esclarecimentos sobre o eventual incidente e seus impactos”.
Por fim, a Americanas (AMER3) disse que desconhece a ocorrência de qualquer vazamento de dados de seus clientes.
“A companhia não identificou qualquer vulnerabilidade em seu ambiente, que permanece íntegro e seguro, aderente a toda legislação vigente”, afirmou, em nota, ao jornal.