O laboratório de segurança digital Safety Detectives informou que uma falha no banco de dados da Hariexpress, plataforma de vendas online usada por gigantes do varejo, como Amazon, Americanas, Mercado Livre, Shopee e Magalu, expôs 1,75 bilhão de registros de clientes e vendedores.
A falha foi descoberta em junho, mas há evidências de que as informações estavam expostas pelo menos desde o dia 12 de maio por causa de uma configuração incorreta da Hariexpress no servidor, que não possuía criptografia e nem proteção de senha.
Nome, telefone e endereços residenciais e de cobranças de clientes e lojistas, e imagens de produtos entregues se tornaram públicos após o erro. Os dados equivalem a 610 gigabytes de informações, segundo o Safety Detectives.
Além disso, o laboratório também apontou que os dados dos vendedores incluíam CNPJ, CPF, detalhes das cobranças, links para faturas, senhas criptografadas e códigos de rasteamento de pedidos.
"O vazamento de detalhes do pedido pode ser um problema de várias maneiras. Alguns registros revelam detalhes de compras confidenciais de clientes de comércio eletrônico. Os pedidos feitos em particular agora revelam informações pessoais que podem ser consideradas constrangedoras ou prejudiciais", analisa o documento.
Impactos
Contudo, não há um indicador preciso de quantas pessoas foram afetadas. A estimativa é que o incidente tenha comprometido "centenas de milhares, se não milhões de usuários e compradores brasileiros".
"Sabemos que havia milhares de endereços de e-mail nos registros do servidor e, como tal, podemos supor que milhares de pessoas foram afetadas", afirmou o laboratório.
O grupo alertou que os usuários do Hariexpress podem ser alvos de tentativas de phishing e golpes a partir do vazamento de informações. Um hacker pode se passar por um cliente insatisfeito ao solicitar um reembolso ou um novo pedido, citando a extensa lista de registros de pedidos e informações de fatura, cita o laboratório.
A plataforma ainda não emitiu posicionamento sobre o erro no servidor.