Integradora de marketplace brasileira, Hariexpress, expôs 1,75 bilhão de registros - Gustavo Kennedy Renkel

No momento da publicação deste artigo, os dados ainda estavam expostos e crescendo, pois não houve resposta do Hariexpress.

A plataforma brasileira de integradores de marketplace hariexpress (Hariexpress.com.br) foi flagrada expondo uma enorme quantidade de dados confidenciais pertencentes a seus clientes e fornecedores.

No total, a empresa expôs mais de 610 GB de dados contendo mais de 1,75 bilhão de registros (1.751.023.279) sem qualquer autenticação de segurança.

Lançado em 2018; O Hariexpress integra os marketplaces do eCommerce em uma única plataforma para automatizar processos em diferentes lojas online.

Vale ressaltar que essa exposição maciça foi causada por um servidor de busca elástica desconfigurado. Isso significa que qualquer pessoa com conhecimento de explorar os servidores de vídeo elásticos desconfigurados pode acessar esses registros sem a necessidade de credenciais de login.

O incidente foi originalmente identificado por pesquisadores de cibersegurança da equipe da Safety Detectives liderada por Anurag Sen. De acordo com seu post no blog, os registros expostos incluem informações sobre clientes e fornecedores (empresas que usam a plataforma Hariexpress). Por exemplo, quando se trata de clientes, o conteúdo dos dados expostos inclui:

  • Imagens
  • Nomes completos
  • Nomes de usuário
  • Endereços de e-mail
  • Números de telefone
  • Detalhes de faturamento, incluindo endereços de faturamento.

Para os fornecedores, o servidor Elasticsearch desconfigurado está atualmente expondo registros altamente sensíveis e pessoais, incluindo os seguintes:

  • Nomes completos
  • Números do CPF
  • Detalhes de faturamento
  • Números de telefone
  • Endereços de e-mail
  • Endereços residenciais
  • Endereços de negócios
  • Números de CNPJ (Cadastro Nacional de Empresas Brasileiras)

Além disso, os pesquisadores observaram em seu blog que o Hariexpress também expôs seu nome de usuário interno e senhas criptografadas ao acesso público. Segundo os pesquisadores, eles identificaram os dados em 12 de maio de 2021, e com base em sua análise foram expostos ao público por mais de um mês.

O pior é que a empresa ainda está para proteger os dados, enquanto a Equipe Brasileira de Prontidão para Emergências por Computador (BR CERT) também se absteve de tomar medidas para proteger os dados.

Consequentemente, no momento da publicação deste artigo, Hackread.com pode confirmar que todo o cluster elasticsearch ainda estava exposto e disponível on-line para acesso público.

Estamos entrando em contato com a ASRC, que é a equipe de segurança da nuvem do Alibaba, já que o servidor está hospedado no AliCloud-EUA. Esperando que eles o levem para offline.

Se você é um cliente com o Hariexpress, é hora de entrar em contato com a empresa (embora de acordo com o Google, eles estejam “Temporariamente Fechados”) e perguntar sobre o incidente.

O fato de bilhões de registros estarem atualmente abertos ao acesso público pode acabar como um desastre para vendedores e clientes desavisados.

Os cibercriminosos podem usar os dados para realizar golpes de phishing, roubo de identidade e ataques de engenharia social, e os concorrentes podem usar os dados para espionagem corporativa.

No entanto, o vazamento de dados em si é uma ameaça maciça à segurança do Hariexpress, pois os hackers podem sequestrar todo o cluster de pesquisa elástica para exigir resgate ou acabar vendendo/vazando os dados em fóruns de hackers.

Intro

A equipe de cibersegurança da Safety Detectives, liderada por Anurag Sen, descobriu um vazamento de dados crítico que afeta a plataforma brasileira de integradores de marketplace Hariexpress.com.br.

De acordo com o site da empresa, o Hariexpress integra vários marketplaces de comércio eletrônico em uma única plataforma, permitindo que os comerciantes organizem e automatizem processos em todas as suas diferentes lojas online.

O servidor ElasticSearch mal configurado da Hariexpress expôs uma enorme quantidade de PII de clientes e usuários da plataforma.

A última vez que verificamos o servidor do Hariexpress para verificar seu status, ele expôs mais de 1,75 bilhão de registros e mais de 610 GB de dados confidenciais. Provavelmente estava mais alto quando ficou seguro.

Quem é Hariexpress?

A Hariexpress foi fundada em São Paulo, Brasil. A empresa integra inúmeros processos em uma única plataforma para melhorar a eficiência e a capacidade operacional dos comerciantes com mais de uma loja de comércio eletrônico.

Os recursos incluem clonagem de lojas e gerenciamento unificado de estoque, sem mencionar análises ERP que relatam o desempenho dos negócios.

A Hariexpress possui alguns grandes parceiros que integram seus serviços com a plataforma. Entre eles estão Mercado Livre, B2W Digital, Amazon, Shopee, Magalu, tinyERP. Bling!, e Nuvemshop.

Os Correios são outro parceiro da Hariexpress. Os Correios são os correios nacionais do Brasil, e o servidor do Hariexpress também expôs dados para essa grande organização.

Sabemos que o Hariexpress possui o servidor devido a inúmeras referências ao “Hariexpress” no nome do servidor e ao longo do conteúdo de seus logs.

O que vazou?

O servidor ElasticSearch da Hariexpress foi deixado sem criptografia sem qualquer proteção por senha no local. Como resultado, expôs mais de 1,75 bilhão de registros, totalizando mais de 610 GB de dados.

O banco de dados não suspenso da Hariexpress vazou os detalhes do pedido dos clientes do eCommerce, além de formas de dados pii dos consumidores, incluindo:

  • Nomes completos; e “apelidos” (nomes de usuário)
  • Endereços de e-mail
  • Números de Telefone
  • Endereços completos de entrega
  • Detalhes de faturamento; incluindo endereços de cobrança e o valor pago por mercadorias
  • Imagens dos bens entregues

O servidor aberto também incluiu o PII de fornecedores, ou seja, as Empresas que utilizam a plataforma Hariexpress.

Além de vazar dados para compradores de comércio eletrônico, detalhes de pedidos expostos também vazaram conjuntos específicos de dados de fornecedores de eCommerce (vendedores):

  • Nomes completos dos vendedores; e “apelidos” (nomes de usuário)
  • Endereços de e-mail dos vendedores
  • Números de telefone dos vendedores
  • Endereços comerciais/residenciais dos vendedores
  • Números do CNPJ dos vendedores; um número de identificação para empresas brasileiras
  • Números do CPF dos vendedores (número de imposto)
  • Detalhes de faturamento; incluindo preço unitário e tempo de venda

Havia outros registros sobre o ElasticSearch aberto do Hariexpress que expôs PIIs também:

  • Links para imagens de nota fiscal; que incluía nomes e endereços shopper & seller
  • Nome de usuário interno e senhas criptografadas; para cada empresa’ Conta Hariexpress
  • Números de rastreamento de pedidos

Os detalhes do pedido continham uma longa lista de dados pertencentes a compradores e vendedores do eCommerce. Você pode ver exemplos de detalhes de pedido vazados abaixo.

Detalhes de pedidos vazados podem ser um problema em mais de uma maneira. Alguns registros vazam detalhes das compras confidenciais dos clientes do eCommerce. Ordens que foram feitas em particular agora revelam informações pessoais que podem ser embaraçosas ou prejudiciais.

Em outros lugares, imagens de faturas e faturas de serviços de correio vazaram o PII de compradores e vendedores de comércio eletrônico.

A violação afetou as empresas de comércio eletrônico de outras maneiras, também, com as credenciais de conta Hariexpress dos fornecedores incluídas no conteúdo dos registros do servidor. Os números de CNPJ de vendedores também podem ser vistos.

O vasto tamanho do servidor torna difícil saber exatamente quantas pessoas foram afetadas por essa violação. Sabemos que havia milhares de entradas de endereços de e-mail nos registros do servidor e, como tal, podemos supor que milhares de pessoas foram afetadas. No entanto, uma estimativa exata é difícil devido à presença de endereços de e-mail duplicados.

Você pode ver uma análise completa da violação de dados do Hariexpress na tabela abaixo.

Número de registros vazados1,751,023,279
Número de usuários afetadosDesconhecido
Tamanho da brechaMAIS DE 610 GB
Localização do servidorWashington
Localização da empresaSão Paulo

O servidor ElasticSearch da Hariexpress estava ao vivo e sendo atualizado no momento da descoberta. O servidor foi aparentemente exposto na internet a partir de 12 de maio de 2021, e a equipe de segurança cibernética dos Detetives de Segurança descobriu isso mais de um mês depois.

As informações no banco de dados estavam em português que prolongaram nossa investigação. Entramos em contato com a Hariexpress sobre o servidor da empresa em 1º de julho de 2021, recebendo uma resposta em 5 de julho de 2021. Um empregado da Hariexpress pediu nosso número de contato, mas ficou inacessível depois disso. No dia 8 de julho, entramos em contato com o CERT brasileiro, que afirmou que eles não estavam encarregados dessa divulgação.

Impacto de violação de dados

Uma violação de dados dessa magnitude poderia facilmente afetar centenas de milhares, se não milhões de usuários brasileiros do Hariexpress e compradores de comércio eletrônico. O conteúdo vazado do servidor da Hariexpress também pode afetar seu próprio negócio.

Não podemos saber se hackers antiéticos descobriram o servidor ElasticSearch não seguro da Hariexpress. Usuários, mensageiros, consumidores e o próprio Hariexpress devem entender os riscos que podem enfrentar com essa violação de dados.

Impactos nos compradores de comércio eletrônico

A maioria das informações críticas do servidor pertence aos clientes de empresas de comércio eletrônico usando a plataforma Hariexpress.

Afinal, o comércio eletrônico brasileiro é uma indústria em rápido crescimento, com projeção para chegar a R$ 149 bilhões em 2021. As plataformas de comércio eletrônico podem fazer todo o possível para proteger massas de dados do usuário, mas não podem se preparar para uma violação de terceiros como a coberta neste relatório. Esse “ponto cego” torna possível mega violações como a violação do Hariexpress.

É difícil dizer exatamente quantos clientes são afetados. Se você é brasileiro e fez compras em qualquer plataforma de comércio eletrônico associada ao Hariexpress, então você deve estar atento às seguintes ameaças de segurança cibernética.

Ataques de phishing tentativas de engenharia social devem estar na vanguarda do pensamento de qualquer cliente preocupado. Hackers podem usar endereços de e-mail vazados para contatar a vítima.

Os hackers poderiam usar uma longa lista de diferentes formas de PII do cliente para construir confiança com a vítima. O e-mail pode ser personalizado para o destinatário usando um nome e endereço. O hacker poderia construir uma narrativa convincente usando informações de pedidos, faturas e detalhes de faturamento. Por exemplo, o hacker poderia se passar por um funcionário do correio, citando um problema com a conclusão do pedido.

A partir daqui, o hacker pode convencer a vítima a fornecer formas adicionais de informações pessoais ou a clicar em um link que baixa software malicioso no dispositivo da vítima. Isto é um ataque de phishing.

Ataques de phishing podem ser usados para ajudar hackers a cometer fraudes.

Os golpistas poderiam usar números de CPF para criar golpes em torno de descontos ou devoluções fiscais. Os golpistas também poderiam usar faturas e informações de faturamento para lançar outras tentativas fraudulentas. Um desses golpes é o falso golpe de faturamento, que usa informações de faturamento vazadas e faturas para criar uma fatura falsa. A vítima então paga essa fatura sem saber.

O roubo é outro risco para os consumidores. Os criminosos poderiam usar informações de entrega e endereços de entrega para organizar tentativas de roubo; qualquer uma das mercadorias encomendadas ou do endereço residencial do cliente. Pedidos de alto valor chamariam a atenção para alvos mais ricos.

Impactos em Hariexpress.com.br Usuários & Correios

Usuários do Hariexpress e mensageiros associados também estão em risco por causa dessa violação de dados.

Os mensageiros hariexpress podem estar no lado receptor das tentativas de roubo acima mencionadas. O Hariexpress integra em sua plataforma o serviço de correios Correios.

Os vendedores que usam o Hariexpress devem estar cientes de que seus nomes e endereços estão incluídos no banco de dados aberto. Os usuários do Hariexpress podem ser alvo de tentativas de phishing e golpes usando essas informações. Por exemplo, um hacker pode se passar por um cliente descontente para solicitar um reembolso ou um novo pedido, citando a extensa lista de registros de pedidos e informações de faturas.

Os usuários do Hariexpress podem enfrentar a aquisição de contas usando credenciais de login vazadas. Isso pode ser criticamente prejudicial para os usuários do Hariexpress, fornecendo aos hackers uma riqueza de informações sobre os negócios e a base de clientes do usuário.

Espionagem corporativa também é um problema. O ElasticSearch aberto vazou pedidos de clientes para numerosos negócios de comércio eletrônico. Empresas rivais que adquiriram essas informações poderiam entrar em contato com os clientes de um vendedor, subestimando o vendedor original com uma oferta melhor e roubando esse negócio. Isso também pode ser um problema para Hariexpress.com.br.

Empresas rivais também podem se passar por comprador ou colega, citando detalhes do pedido do cliente para construir confiança e descobrir mais informações sobre o negócio do vendedor. Isso pode incluir segredos da indústria.

Impacto no Hariexpress.com.br

Em primeiro lugar, o Hariexpress vazou mais de 1,75 bilhão de registros, muitos dos quais se relacionam com usuários do Hariexpress e membros brasileiros do público. O Hariexpress colocou esses indivíduos em perigo de crime, infringindo as leis brasileiras de proteção de dados no processo.

A Lei Geral de Proteção de Dados (LGPD) entrou em vigor no final de 2020. A lei se aplica a qualquer empresa ou pessoa que lide com os dados dos cidadãos brasileiros.

As empresas que manusearem mal os dados terão que pagar uma multa máxima de 2% da receita do ano anterior, até um total de 50 milhões de reais (~US$ 10 milhões).

Hariexpress poderia enfrentar uma perda de negócios de danos de reputação com um vazamento tão considerável. Os donos de empresas confiaram a Hariexpress para proteger seus meios de subsistência, e o Hariexpress falhou em manter essas informações seguras.

Os usuários atuais podem, portanto, procurar deixar o Hariexpress devido a preocupações com a segurança cibernética. Os clientes em potencial poderiam procurar usar outras ferramentas de integração de mercado pelo mesmo motivo.

Fonte: Plataforma brasileira de integradores vazou mais de 1,75 bilhão de arquivos sensíveis (safetydetectives.com)