O integrador de marketplaces brasieiro Hariexpress.com.br sofreu um vazamento que liberou aproximadamente 1,75 bilhão de dados (610 GB), segundo um relatório da SafetyDetectives.
De acordo com o documento, foram abertos detalhes de pedidos, como nomes, e-mails, endereços, detalhes de produtos comprados, dados de vendedores, nomes completos, CPFs e CNPJs.
A Hariexpress possui alguns parceiros importantes que integram seus serviços com a plataforma. Isso inclui Mercado Livre, B2W Digital, Amazon, Shopee, Magalu, tinyERP. Bling! E Nuvemshop, além dos Correios.
Segundo a SafetyDetectives, o servidor ElasticSearch da Hariexpress foi deixado sem criptografia ou proteção de senha.
O que foi vazado?
O servidor ElasticSearch da Hariexpress não foi criptografado, sem nenhuma proteção por senha. Como resultado, ele expôs mais de 1,75 bilhão de registros, totalizando mais de 610 GB de dados.
O banco de dados não seguro da Hariexpress vazou detalhes de pedidos de clientes de comércio eletrônico , além de formulários de dados de PII dos consumidores, incluindo:
- Nomes completos; e “apelidos” da conta (nomes de usuário)
- Endereço de e-mail
- Números de telefone
- Endereços de entrega completos
- Detalhes de faturamento; incluindo endereços de cobrança e o valor pago pelas mercadorias
- Imagens das mercadorias entregues
O servidor aberto também incluiu as PII dos fornecedores, ou seja , os Negócios que usam a plataforma Hariexpress.
Bem como vazamento de dados para compradores de comércio eletrônico, expostas detalhes da ordem também vazaram conjuntos específicos de fornecedores de comércio eletrônico (vendedores) de dados :
- Nomes completos dos vendedores; e “apelidos” da conta (nomes de usuário)
- Endereços de e-mail dos vendedores
- Números de telefone dos vendedores
- Endereços comerciais / residenciais dos vendedores
- Números CNPJ dos vendedores; um número de identificação para empresas brasileiras
- Números de CPF dos vendedores (número fiscal)
- Detalhes de faturamento; incluindo preço unitário e tempo de venda
Havia outros registros no ElasticSearch aberto do Hariexpress que também expunham PIIs :
- Links para imagens de faturas ; que incluía nomes e endereços de compradores e vendedores
- Nome de usuário interno e senhas criptografadas ; para cada conta Hariexpress de negócios
- Números de rastreamento de pedido
Os detalhes do pedido continham uma longa lista de dados pertencentes a compradores e vendedores de comércio eletrônico. Você pode ver exemplos de detalhes de pedidos que vazaram abaixo.
Impacto de violação de dados
Uma violação de dados dessa magnitude poderia facilmente afetar centenas de milhares, senão milhões, de usuários brasileiros da Hariexpress e compradores de comércio eletrônico. O conteúdo do servidor que vazou da Hariexpress também pode afetar seus próprios negócios.
Não podemos saber se hackers antiéticos descobriram o servidor ElasticSearch inseguro da Hariexpress. Os usuários, entregadores, consumidores e a própria Hariexpress devem compreender os riscos que podem enfrentar com essa violação de dados.
Impactos nos compradores de comércio eletrônico
A maioria das informações críticas do servidor pertence aos clientes de empresas de comércio eletrônico que usam a plataforma Hariexpress.
Afinal, o comércio eletrônico brasileiro é uma indústria em rápido crescimento, projetada para chegar a 149 bilhões de reais em 2021. As plataformas de comércio eletrônico podem fazer tudo o que podem para proteger grandes quantidades de dados do usuário, mas não podem se preparar para uma violação de terceiros como a abordada no este relatório. Esse “ponto cego” torna possíveis mega-violações, como a violação Hariexpress.
É difícil dizer exatamente quantos clientes são afetados. Se você é brasileiro e já comprou em qualquer plataforma de comércio eletrônico associada ao Hariexpress, deve estar alerta para as seguintes ameaças à segurança cibernética.
Ataques de phishing e tentativas de engenharia social devem estar na vanguarda do pensamento de qualquer cliente preocupado. Os hackers podem usar endereços de e-mail vazados para entrar em contato com a vítima.
Os hackers podem usar uma longa lista de diferentes formas de PII do cliente para construir a confiança da vítima. O e-mail pode ser personalizado para o destinatário usando um nome e endereço. O hacker pode construir uma narrativa convincente usando informações de pedidos, faturas e detalhes de cobrança. Por exemplo, o hacker pode se passar por um funcionário de correio, citando um problema com a conclusão do pedido.
A partir daqui, o hacker pode convencer a vítima a fornecer formas adicionais de informações pessoais ou clicar em um link que baixa software malicioso no dispositivo da vítima. Este é um ataque de phishing.
Os ataques de phishing podem ser usados para ajudar os hackers a cometer fraudes.
Os golpistas podem usar os números do CPF para construir fraudes em torno de reduções ou devoluções de impostos. Os golpistas também podem usar faturas e informações de cobrança para lançar outras tentativas fraudulentas. Um desses esquemas é o esquema de faturamento falso, que usa informações de faturamento e faturas vazadas para criar uma fatura falsa. A vítima então paga esta fatura sem saber.
O roubo é outro risco para os consumidores. Os criminosos podem usar informações de entrega e endereços de entrega para organizar tentativas de roubo; das mercadorias encomendadas ou do endereço residencial do cliente. Pedidos de alto valor chamariam a atenção para alvos mais ricos.
Prevenindo a exposição de dados
Como podemos evitar a exposição de dados e os efeitos colaterais prejudiciais de um vazamento de dados?
Aqui estão algumas dicas para evitar a exposição de dados:
- Forneça suas informações pessoais apenas a empresas / indivíduos que você conhece ou pode confiar totalmente.
- Visite apenas domínios de sites seguros. Domínios de sites seguros têm um ‘https’ e / ou um símbolo de cadeado fechado no início.
- Relute em fornecer aos fornecedores as formas mais importantes de informações pessoais (mantenha os números de identificação do governo e as preferências pessoais para você).
- Crie senhas sólidas como rocha usando letras, números e símbolos e atualize-os regularmente.
- Não clique em um link de e-mail (ou qualquer link) a menos que tenha certeza de que a fonte é legítima.
- Edite suas configurações de privacidade nas redes sociais para mostrar seu conteúdo e informações pessoais apenas a pessoas de confiança.
- Não use um cartão de crédito ou digite senhas de conta enquanto estiver conectado a uma rede Wi-Fi desprotegida.
- Aprenda sobre crimes cibernéticos , proteção de dados e como você pode reduzir o risco de ataques de phishing e malware.
