Com Correios, Mercado Livre e B2W de parceiros, plataforma expõe 1,75 bi de dados
Descoberta foi feita pelo grupo de segurança na internet SafetyDetectives
A plataforma integradora de vendas HariExpress, parceira de grandes varejistas brasileiras, expôs mais de 1,75 bilhão de dados confidenciais (o equivalente a 610 gigabytes de informações), segundo um relatório da SafetyDetectives, empresa de segurança na internet.
A Hariexpress é uma empresa nacional e integra dados comerciais de quem vende em plataformas do comércio eletrônico como Correios, Mercado Livre, B2W Digital, Amazon, Shopee, Magalu, tinyERP. Bling! e Nuvemshop.
O levantamento feito pela equipe mostra que os dados estavam sem proteção por criptografia, o que deixou informações pessoais dos comerciantes que usam a plataforma e de seus respectivos clientes vulneráveis.
Entre os dados vazados dos comerciantes, estão nome, e-mail, endereços comerciais e o CNPJ. Já entre os dados vazados dos clientes que compram destas plataformas, estão detalhes de pedidos, nomes completos, endereço de e-mail, telefones, endereços de faturamento, produtos e valor pagos pelas mercadorias.
Segundo relatório, o servidor foi aparentemente exposto na Internet em 12 de maio de 2021.
O que dizem as varejistas
O Magazine Luiza diz que contou com a HariExpress como um de seus integradores por dez meses e, durante esse período, adicionou apenas 30 vendedores à plataforma da companhia e registrou 12 vendas realizadas.
“Até este momento, o Magalu não registrou qualquer vazamento de dados e mantém constante monitoramento da segurança de suas informações”, disse em nota.
O Mercado Livre informa que já solicitou à Hariexpress esclarecimentos sobre eventual incidente e seus impactos e que segue comprometido com a segurança e proteção de dados dos seus usuários.
Procuradas, B2W Digital, Amazon, Shopee não haviam respondido até a publicação desta reportagem.
Os Correios enviaram a seguinte nota ao CNN Brasil Business:
“Os Correios inicialmente esclarecem que o material publicado pela Safety Detectives não específica quais dados pessoais de origem da empresa podem ter sido supostamente violados.
Dessa forma, os Correios avaliam que, até o momento, não há indícios de violação de informações, de pessoas físicas ou jurídicas, oriundas da base de dados da estatal. O sistema dos Correios que mantém integração ao servidor citado atua apenas na aferição de peso de encomendas e precificação, não havendo o processamento de dados pessoais. Outros dados compartilhados eventualmente na transação entre os sistemas, tal como o CEP, não permitem identificar titular de dado pessoal, tampouco código de rastreio de objetos. Ainda assim, os Correios seguem apurando o caso, para tomar as providências necessárias e corretivas, no que couber.”
*Sob supervisão de Ligia Tuon