Com Correios, Mercado Livre e B2W de parceiros, plataforma expõe 1,75 bi de dados

Descoberta foi feita pelo grupo de segurança na internet SafetyDetectives

Fleury está gradualmente normalizando operações após ataque cibernético
Fleury está gradualmente normalizando operações após ataque cibernético da Reuters

Estela Aguiardo CNN Brasil Business*

São Paulo

Ouvir notícia

A plataforma integradora de vendas HariExpress, parceira de grandes varejistas brasileiras, expôs mais de 1,75 bilhão de dados confidenciais (o equivalente a 610 gigabytes de informações), segundo um relatório da SafetyDetectives, empresa de segurança na internet.

A Hariexpress é uma empresa nacional e integra dados comerciais de quem vende em plataformas do comércio eletrônico como Correios, Mercado Livre, B2W Digital, Amazon, Shopee, Magalu, tinyERP. Bling! e Nuvemshop.

 

O levantamento feito pela equipe mostra que os dados estavam sem proteção por criptografia, o que deixou informações pessoais dos comerciantes que usam a plataforma e de seus respectivos clientes vulneráveis.

Entre os dados vazados dos comerciantes, estão nome, e-mail, endereços comerciais e o CNPJ. Já entre os dados vazados dos clientes que compram destas plataformas, estão detalhes de pedidos, nomes completos, endereço de e-mail, telefones, endereços de faturamento, produtos e valor pagos pelas mercadorias.

Segundo relatório, o servidor foi aparentemente exposto na Internet em 12 de maio de 2021.

O que dizem as varejistas

Magazine Luiza diz que contou com a HariExpress como um de seus integradores por dez meses e, durante esse período, adicionou apenas 30 vendedores à plataforma da companhia e registrou 12 vendas realizadas.

“Até este momento, o Magalu não registrou qualquer vazamento de dados e mantém constante monitoramento da segurança de suas informações”, disse em nota.

O Mercado Livre informa que já solicitou à Hariexpress esclarecimentos sobre eventual incidente e seus impactos e que segue comprometido com a segurança e proteção de dados dos seus usuários.

Procuradas, B2W Digital, Amazon, Shopee não haviam respondido até a publicação desta reportagem.

Os Correios enviaram a seguinte nota ao CNN Brasil Business:

Os Correios inicialmente esclarecem que o material publicado pela Safety Detectives não específica quais dados pessoais de origem da empresa podem ter sido supostamente violados.
Dessa forma, os Correios avaliam que, até o momento, não há indícios de violação de informações, de pessoas físicas ou jurídicas, oriundas da base de dados da estatal. O sistema dos Correios que mantém integração ao servidor citado atua apenas na aferição de peso de encomendas e precificação, não havendo o processamento de dados pessoais. Outros dados compartilhados eventualmente na transação entre os sistemas, tal como o CEP, não permitem identificar titular de dado pessoal, tampouco código de rastreio de objetos. Ainda assim, os Correios seguem apurando o caso, para tomar as providências necessárias e corretivas, no que couber.

*Sob supervisão de Ligia Tuon

 

 

Mais Recentes da CNN