Falha em serviço que integra Amazon, Mercado Livre e outros expõe 1,7 bilhão de registros, dizem pesquisadores

Segundo laboratório, incidente da Hariexpress expôs dados como nome, e-mail e telefone de milhares clientes — Foto: Altieres Rohr/G1
Segundo laboratório, incidente da Hariexpress expôs dados como nome, e-mail e telefone de milhares clientes — Foto: Altieres Rohr/G1

Uma falha no banco de dados da Hariexpress, plataforma usada por algumas das principais varejistas do país, expôs 1,75 bilhão de registros, segundo o laboratório de cibersegurança Safety Detectives. O erro tornou públicas informações como nome, telefone e endereços de clientes e vendedores.

Os pesquisadores identificaram uma configuração incorreta na base de dados da Hariexpress, cujo serviço integra marketplaces de empresas como Amazon, Mercado Livre, Americanas, Shopee e Magazine Luiza. As lojas não têm relação com o incidente (veja o posicionamento mais abaixo).

A plataforma da Hariexpress permite que vendedores exibam seus produtos em diversas varejistas. A integração, porém, faz a Hariexpress ter acesso a informações sobre lojistas, clientes e pedidos.

O Safety Detectives afirma que o tamanho da base de dados dificulta saber com precisão quantas pessoas foram afetadas, mas estima que o incidente afeta “centenas de milhares, se não milhões de usuários e compradores brasileiros”.

“Sabemos que havia milhares de endereços de e-mail nos registros do servidor e, como tal, podemos supor que milhares de pessoas foram afetadas”, disse o laboratório.

“No entanto, uma estimativa exata é difícil devido à presença de endereços de e-mails duplicados”.

O que é a Hariexpress?

A Hariexpress oferece um serviço em que comerciantes podem automatizar vendas por meio de marketplaces, em que grandes varejistas exibem produtos de terceiros.

Para facilitar o processo, a Hariexpress tem uma plataforma para vendedores cadastrarem seus produtos de uma vez em várias lojas. Além das já citadas, a empresa tem integração com as plataformas Tiny ERP, Bling! e Nuvemshop. A Hariexpress também possui integração com os Correios.

Os dados ficaram expostos por conta de uma configuração incorreta da Hariexpress no servidor, que estava sem criptografia, nem senha.

O que foi exposto?

A base da Hariexpress tinha 610 gigabytes de informações, segundo o Safety Detectives. Entre os registros encontrados, estão dados pessoais de clientes e lojistas, como:

  • Nome completo (e nome de usuário)
  • E-mail
  • Telefone
  • Endereço
  • Endereço de cobrança e valores de pedidos
  • Imagens dos produtos entregues

Ainda de acordo com o laboratório, os dados de vendedores incluíam CNPJ, CPF e detalhes das cobranças. Eles afirmam que a base de dados também exibia links para faturas – que reúnem endereços de clientes e empresas –, senhas criptografadas e códigos de rastramento de pedidos.

Os pesquisadores apontam que os registros na base de dados estavam em português e tinham várias referências à Hariexpress. O laboratório diz ter descoberto a falha em junho, mas alerta que, aparentemente, as informações estavam expostas ao menos desde 12 de maio.

O grupo informou que não conseguiu tratar do incidente no servidor com a Hariexpress.

Qual é o impacto da falha?

A maioria das informações expostas pertence a clientes de lojistas que usavam a plataforma da Hariexpress.

Ao se tornarem públicos, os e-mails podem ser usados em mensagens falsas e golpes de engenharia social, em que vítimas são induzidas a revelar mais dados particulares em sites criados por golpistas. As informações também pode ser aproveitadas para disseminar boletos falsos, por exemplo.

Para os lojistas, há o risco de pedidos falsos de reembolso e roubos de conta. Os pesquisadores também apontam que a falha pode levar a casos de espionagem corporativa, já que empresas poderiam buscar detalhes sobre produtos mais vendidos por seus concorrentes.

O que dizem as empresas

g1 entrou em contato com a Hariexpress, mas não houve retorno até a publicação da reportagem.

A Amazon disse que “com relação a este episódio, fomos informados pela Hariexpress que não ocorreu o vazamento de nenhum dado” da empresa.

As lojas Americanas afirmaram que “desconhece a ocorrência de qualquer vazamento de dados de seus clientes ou vulnerabilidade em seu ambiente”. Segundo a empresa, “a informação também foi certificada pela Hariexpress na última semana”.

A Shopee afirmou que “leva a privacidade dos dados muito a sério e está empenhada em garantir a segurança e proteção de seus usuários” e que a Hariexpress informou que seus usuários não foram impactados.

A Magazine Luiza disse que “não registrou qualquer vazamento de dados e mantém constante monitoramento da segurança de suas informações”. A loja indicou que, durante os 10 meses em que a integração da Hariexpress ficou ativa, a plataforma “adicionou apenas 30 sellers e registrou 12 vendas realizadas”.

A plataforma de comércio eletrônico Tiny ERP explicou permite integrações e, neste caso, o cliente é responsável pelo acesso aos dados de sua conta por terceiros. “A Tiny Software não possui nenhum vínculo com a empresa Hariexpress e não temos nenhum comentário adicional a respeito deste fato, uma vez que não houve nenhum vazamento de dados no ambiente do sistema Tiny ERP”, afirmou o serviço.

A Nuvemshop, outro serviço de e-commerce, disse que entrou em contato com a Hariexpress para pedir esclarecimentos, mas que até o momento não teve retorno. “A Nuvemshop reforça que já tomou providências para resguardar a privacidade de seus usuários e reitera o seu compromisso com a segurança e proteção de dados”, disse a empresa.

Os Correios disseram que “o material publicado pela Safety Detectives não especifica quais dados pessoais de origem da empresa podem ter sido supostamente vazados” e que até o momento “não há indícios de violação de informações – de pessoas físicas ou jurídicas – oriundas da base de dados da estatal”.

“O sistema dos Correios que mantém integração ao servidor citado atua apenas na aferição de peso de encomendas e precificação, não havendo o processamento de dados pessoais. Outros dados compartilhados eventualmente na transação entre os sistemas, tal como o CEP, não permitem identificar titular de dado pessoal, tampouco código de rastreio de objetos. Ainda assim, os Correios seguem apurando o caso, para tomar as providências necessárias e corretivas, no que couber”, completa a nota.

Outras lojas que se integram à Hariexpress não retornaram o contato do g1 até a última atualização dessa reportagem.