Parceiro de Correios, Mercado Livre e Americanas deixa mais de 1,75 bilhão de dados expostos

Atualizado: 19 de out. de 2021

Um servidor Elasticsearch desprotegido revelou mais de 1,75 bilhão de dados confidenciais (o equivalente a 610 gigabytes de informações) de vendedores, usuários e clientes da Hariexpress.



VEJA TAMBÉM: LGPD: Guia “Como Proteger Seus Dados Pessoais” é lançado pela ANPD


A Hariexpress é uma empresa brasileira que integra dados comerciais de ecommerces como Correios, Mercado Livre, B2W Digital, Amazon, Shopee, Magalu, tinyERP. Bling! e Nuvemshop.


Segundo os pesquisadores da SafetyDetectives, o banco de dados foi encontrado desprotegido e sem senha.


O que foi vazado?


Dados dos usuários (compradores)

  • Nome completo

  • Endereço de e-mail

  • Número de telefone

  • Endereço de entrega

  • Detalhes de faturamento; incluindo endereço de cobrança e o valor pago pelas mercadorias

  • Imagens das mercadorias entregues

Dados dos fornecedores (vendedores)

  • Nome completo dos vendedores

  • Endereço de e-mail dos vendedores

  • Números de telefone dos vendedores

  • Endereços comerciais/residenciais dos vendedores

  • Números do CNPJ dos vendedores

  • Números de CPF dos vendedores

  • Detalhes de faturamento; incluindo preço unitário e tempo de venda

Dados internos

  • Links para imagens de faturas; que incluía nomes e endereços de compradores e vendedores

  • Nome de usuário interno e senhas criptografadas; para cada conta Hariexpress de negócios

  • Números de rastreamento de pedido


VEJA TAMBÉM: Como funciona um Sandbox?


Os pesquisadores da SafetyDetectives entraram em contato com a Hariexpress a respeito do servidor da empresa em 1º de julho de 2021. Embora a empresa não tenha respondido, a falta de segurança do servidor foi corrigida antes da publicação do relatório.


Vazamentos desse tipo, principalmente com dados que identificam os usuários, costumam levar a golpes de phishing e de engenharia social, por isso, a recomendação dos pesquisadores é:


Se você é brasileiro e comprou em qualquer plataforma de comércio eletrônico associada a Hariexpress, deve estar alerta para ameaças como ataques de phishing, tentativas de engenharia social e até furto físico de bens [já que endereços e históricos de compra foram vazados].

Além disso, os pesquisadores avaliam que a Hariexpress pode ser penalizada pela Lei Geral de Proteção de Dados (LGPD) em cerca de U$ 10 milhões (R$ 55 milhões).


A lei se aplica a qualquer empresa ou pessoa que lida com dados de cidadãos brasileiros. As empresas que manuseiam incorretamente os dados terão que pagar multa máxima de 2% da receita do ano anterior, até um total de 50 milhões de reais (~ $ 10 milhões). A Hariexpress pode perder negócios devido a danos à reputação com um vazamento de tamanho considerável. Os proprietários de empresas confiaram na Hariexpress a proteção de seus meios de subsistência, e a Hariexpress falhou em manter essas informações seguras.

Fonte: TecMundo e The Hack

 

Proteja os dados de seus clientes, colaboradores e parceiros com Primeur Data Privacy e se adeque à LGPD.

Conheça nossas soluções avançadas, robustas e seguras de NOC & SOC, Zero Trust, Next-Gen Firewalls, LGPD, Hardware, Monitoramento de Rede, Transferência de Arquivos Gerenciada, Consultoria de TIC, Treinamentos, Sustentação de Aplicações, Outsourcing, Licenciamento Geral e Help Desk.

167 visualizações

Posts recentes

Ver tudo

Newsletter

Confira notícias, informações e tendências do setor de tecnologia da informação. 

Nos acompanhe nas redes sociais!

1200X628 - SAND.png
1200X628 -NOC.png

Ver todos os materiais gratuitos