Uma falha de segurança em uma plataforma brasileira que integra marketplaces expôs mais de 1,7 bilhão de dados sensíveis de clientes e lojistas cadastrados em sites de comércio eletrônico. O montante de informações vazadas foi calculado em mais de 610 GB.
A descoberta foi feita pela equipe do especialista Anurag Sem, do Safety Detectives, um laboratório de cibersegurança que atua para ajudar a comunidade a se defender contra ameaças cibernéticas, e foi publicada na última terça-feira (12).
Na publicação, foi explicado que a falha crítica está no sistema da Hariexpress, uma empresa com sede em São Paulo, que realiza a integração de e-commerce com diferentes marketplaces. Uma má configuração do ElasticSearch — um mecanismo de pesquisa de código aberto — acabou deixando as chamadas Informações de Identificação Pessoal (PII) abertas para acesso.
“O servidor ElasticSearch da Hariexpress foi deixado sem criptografia, sem nenhuma proteção por senha”, diz trecho do relatório divulgado pelo Safety Detectives.
A má configuração no ElasticSearch possibilitava o acesso a PII.
Segundo o site da Hariexpress, ela atende várias das maiores companhias de vendas e que oferecem serviços para comércios eletrônicos no País, como é o caso do Mercado Livre, B2W Digital (Americanas, Submarino e outras), Amazon, Shopee e Magazine Luiza. A empresa também tem como cliente os Correios, que também tiveram dados expostos.
O que foi vazado?
A publicação do Safety Detectives explica que além de detalhes de compras e pedidos realizados nos e-commerce, foram vazadas informações pessoais de clientes como:
- nomes completos e nomes de usuário nas plataformas;
- endereço de e-mail;
- números de telefone;
- endereços de entrega completos;
- detalhes de faturamento (incluindo endereços de cobrança e o valor pago pelas mercadorias);
- imagens das mercadorias entregues.
No caso dos vendedores, foram expostas informações como:
- nomes completos dos vendedores e nomes de usuário na plataforma;
- endereços de e-mail;
- números de telefone;
- endereços comerciais e residenciais;
- CNPJs;
- CPFs;
- detalhes de faturamento (incluindo preço unitário e tempo de venda).
Além do montante de dados sensíveis, o relatório do Safety Detectives pontua que a falha de programação do ElasticSearch expôs PII como links para imagens de faturas (que incluía nomes e endereços de compradores e vendedores); nomes de usuários internos e senhas criptografadas (para cada conta Hariexpress de negócios) e até números de rastreamento de pedidos.
O laboratório de cibersegurança ainda apresentou capturas de tela para mostrar que as informações estavam mesmo acessíveis pelo ElasticSearch. Em um dos pedidos, foi possível acessar todos os detalhes de uma pessoa que comprou um “alongador peniano” no Mercado Livre. Confira, abaixo, as imagens borradas que comprovam os vazamentos.
“O vasto tamanho do servidor torna difícil saber exatamente quantas pessoas foram afetadas por esta violação. Sabemos que havia milhares de entradas de endereço de e-mail nos registros do servidor e, como tal, podemos supor que milhares de pessoas foram afetadas. No entanto, uma estimativa exata é difícil devido à presença de entradas de endereços de e-mail duplicados”, diz outro trecho do documento.
Impactos do vazamento
Apesar de ser mais um dentre os vários vazamentos de dados que aconteceram em 2021, esse caso foi considerado bastante sério pelo Safety Detectives. O grupo afirma que o servidor do Hariexpress pode ter sido exposto em 12 de maio de 2021 e ficou pelo menos um mês acessível, já que a equipe descobriu o problema após esse tempo. Os pesquisadores complementam que não é possível saber se hackers éticos, também chamados de “white hats”, haviam descoberto a brecha de segurança antes.
“Uma violação de dados dessa magnitude poderia facilmente afetar centenas de milhares, senão milhões de usuários brasileiros da Hariexpress e compradores de comércios eletrônicos. O conteúdo do servidor que vazou também pode afetar os próprios negócios da empresa”, defende o laboratório.
Por causa da magnitude do problema, o Safety Detectives orienta que os clientes dos comércios eletrônicos redobrem a atenção com tentativas de phishing e principalmente golpes utilizando engenharia social.
O grupo exemplificou que com as informações disponíveis, golpistas podem construir uma narrativa bem estruturada de que são funcionários dos Correios e precisam saber algum tipo de confirmação e pedir para entrarem em algum link malicioso, por exemplo.
Outro lado
O TecMundo entrou em contato com as empresas para verificar quais ações foram tomadas para tentar contornar o problema. Amazon, B2W Digital, Correios, Mercado Livre e Shopee ainda não responderam aos questionamentos até a publicação desta matéria.
O Magazine Luiza informou, por nota, que “contou com a HariExpress como um de seus integradores por um período de dez meses. Durante esse período, a HariExpress adicionou apenas 30 sellers [vendedores] à plataforma da companhia e registrou 12 vendas realizadas. Até este momento, o Magalu não registrou nenhum vazamento de dados e mantém constante monitoramento da segurança de suas informações”.
A reportagem também entrou em contato com a Hariexpress para saber se a brecha de segurança foi corrigida, mas até o fechamento da reportagem ainda não recebemos um retorno.
[ATUALIZAÇÃO — 14h45]: O Mercado Livre explicou ao TecMundo que não tem contrato com o Hariexpress, já que a plataforma de e-commerce assina acordo com os próprios vendedores para que eles possam ofertar seus produtos em vários comércios eletrônicos. “Comprometido com a segurança e proteção de dados dos seus usuários, o Mercado Livre informa que já solicitou à Hariexpress esclarecimentos sobre o incidente e eventuais impactos”, informou também a empresa.
Já a Amazon disse que não vai realizar comentários sobre o assunto.
[ATUALIZAÇÃO – 15H45]: Por nota, a Americanas esclareceu que a B2W não existe mais desde junho, quando foi originada a Americanas S.A, que combina as marcas do Submarino, Shoptime e Soub! Por causa disso, a citação da B2W pelo laboratório de cibersegurança se refere à atual Americanas S.A.
"A Americanas S.A. informa que desconhece a ocorrência de qualquer vazamento de dados de seus clientes. A companhia não identificou qualquer vulnerabilidade em seu ambiente, que permanece íntegro e seguro, aderente a toda legislação vigente”, acrescentou a empresa.
[ATUALIZAÇÃO – 17H10]: Confira, a seguir, a íntegra da nota enviada pelos Correios. “Os Correios inicialmente esclarecem que o material publicado pela Safety Detectives não específica quais dados pessoais de origem da empresa podem ter sido supostamente violados.
Dessa forma, os Correios avaliam que, até o momento, não há indícios de violação de informações, de pessoas físicas ou jurídicas, oriundas da base de dados da estatal. O sistema dos Correios que mantém integração ao servidor citado atua apenas na aferição de peso de encomendas e precificação, não havendo o processamento de dados pessoais.
Outros dados compartilhados eventualmente na transação entre os sistemas, tal como o CEP, não permitem identificar titular de dado pessoal, tampouco código de rastreio de objetos.
Ainda assim, os Correios seguem apurando o caso, para tomar as providências necessárias e corretivas, no que couber”.
Fontes
Categorias