Um servidor Elasticsearch desprotegido revelou mais de 1,75 bilhão de dados confidenciais (o equivalente a 610 gigabytes de informações) de vendedores, usuários e clientes da Hariexpress.
A Hariexpress é uma empresa brasileira que integra dados comerciais de ecommerces como Correios, Mercado Livre, B2W Digital, Amazon, Shopee, Magalu, tinyERP. Bling! e Nuvemshop.
Segundo os pesquisadores da SafetyDetectives, o banco de dados foi encontrado desprotegido e sem senha.
O que foi vazado?
Dados dos usuários (compradores)
Nome completo
Endereço de e-mail
Número de telefone
Endereço de entrega
Detalhes de faturamento; incluindo endereço de cobrança e o valor pago pelas mercadorias
Imagens das mercadorias entregues
Dados dos fornecedores (vendedores)
Nome completo dos vendedores
Endereço de e-mail dos vendedores
Números de telefone dos vendedores
Endereços comerciais/residenciais dos vendedores
Números do CNPJ dos vendedores
Números de CPF dos vendedores
Detalhes de faturamento; incluindo preço unitário e tempo de venda
Dados internos
Links para imagens de faturas; que incluía nomes e endereços de compradores e vendedores
Nome de usuário interno e senhas criptografadas; para cada conta Hariexpress de negócios
Números de rastreamento de pedido
VEJA TAMBÉM: Como funciona um Sandbox?
Os pesquisadores da SafetyDetectives entraram em contato com a Hariexpress a respeito do servidor da empresa em 1º de julho de 2021. Embora a empresa não tenha respondido, a falta de segurança do servidor foi corrigida antes da publicação do relatório.
Vazamentos desse tipo, principalmente com dados que identificam os usuários, costumam levar a golpes de phishing e de engenharia social, por isso, a recomendação dos pesquisadores é:
Se você é brasileiro e comprou em qualquer plataforma de comércio eletrônico associada a Hariexpress, deve estar alerta para ameaças como ataques de phishing, tentativas de engenharia social e até furto físico de bens [já que endereços e históricos de compra foram vazados].
Além disso, os pesquisadores avaliam que a Hariexpress pode ser penalizada pela Lei Geral de Proteção de Dados (LGPD) em cerca de U$ 10 milhões (R$ 55 milhões).
A lei se aplica a qualquer empresa ou pessoa que lida com dados de cidadãos brasileiros. As empresas que manuseiam incorretamente os dados terão que pagar multa máxima de 2% da receita do ano anterior, até um total de 50 milhões de reais (~ $ 10 milhões). A Hariexpress pode perder negócios devido a danos à reputação com um vazamento de tamanho considerável. Os proprietários de empresas confiaram na Hariexpress a proteção de seus meios de subsistência, e a Hariexpress falhou em manter essas informações seguras.
Conheça nossas soluções avançadas, robustas e seguras de NOC & SOC, Zero Trust, Next-Gen Firewalls, LGPD, Hardware, Monitoramento de Rede, Transferência de Arquivos Gerenciada, Consultoria de TIC, Treinamentos, Sustentação de Aplicações, Outsourcing, Licenciamento Geral e Help Desk.
