A descoberta foi feita pela equipe do especialista Anurag Sem, do Safety Detectives, um laboratório de cibersegurança que atua para ajudar a comunidade a se defender contra ameaças cibernéticas, e foi publicada na última terça-feira (12).

Na publicação, foi explicado que a falha crítica está no sistema da Hariexpress, uma empresa com sede em São Paulo, que realiza a integração de e-commerce com diferentes marketplaces. Uma má configuração do ElasticSearch — um mecanismo de pesquisa de código aberto — acabou deixando as chamadas Informações de Identificação Pessoal (PII) abertas para acesso.

“O servidor ElasticSearch da Hariexpress foi deixado sem criptografia, sem nenhuma proteção por senha”, diz trecho do relatório divulgado pelo Safety Detectives.

Segundo o site da Hariexpress, ela atende várias das maiores companhias de vendas e que oferecem serviços para comércios eletrônicos no País, como é o caso do Mercado Livre, B2W Digital (Americanas, Submarino e outras), Amazon, Shopee e Magazine Luiza. A empresa também tem como cliente os Correios, que também tiveram dados expostos.

O que foi vazado?
A publicação do Safety Detectives explica que além de detalhes de compras e pedidos realizados nos e-commerce, foram vazadas informações pessoais de clientes como:

- nomes completos e nomes de usuário nas plataformas
- endereço de e-mail
- números de telefone
- endereços de entrega completos
- detalhes de faturamento (incluindo endereços de cobrança e o valor pago pelas mercadorias)
imagens das mercadorias entregues

No caso dos vendedores, foram expostas informações como:

- nomes completos dos vendedores e nomes de usuário na plataforma
- endereços de e-mail
- números de telefone
- endereços comerciais e residenciais
- CNPJs
- CPFs
- detalhes de faturamento (incluindo preço unitário e tempo de venda)

Além do montante de dados sensíveis, o relatório do Safety Detectives pontua que a falha de programação do ElasticSearch expôs PII como links para imagens de faturas (que incluía nomes e endereços de compradores e vendedores); nomes de usuários internos e senhas criptografadas (para cada conta Hariexpress de negócios) e até números de rastreamento de pedidos.

Fonte: tecmundo