Atuante em diversas plataformas de grandes varejistas, o integrador de marketplaces HariExpress teve 1,75 bilhão de dados (610 GB) expostos, segundo um relatório do SafetyDetectives, um grupo de pesquisadores que investigam vazamentos na internet.
Brasileira, a HariExpress presta serviços para sellers (vendedores) que anunciam produtos em plataformas como Magazine Luiza, Mercado Livre, Shopee, Amazon e as do grupo Americanas (Americanas.com, Shoptime, Submarino e Soub!). Além disso, entre os parceiros da HariExpress também estão os Correios.
A plataforma integradora reúne todas as informações e as contas de um pequeno vendedor nos mais diferentes canais de venda. Por exemplo, as fotos de estoque são colocadas nessa plataforma e distribuídas nos perfis do vendedor em cada marketplace e, se um produto é vendido, essa informação é atualizada em todas as contas.
De acordo com o relatório, o vazamento deixou expostos dados de pedidos de clientes que compraram on-line, como nome, endereço de e-mail, endereço de entrega da encomenda e telefone. Também foram expostos dados dos vendedores.
Apesar da exposição dos dados, não se pode afirmar que os dados tenham sido capturados por hackers.
Outro lado
Procurada, a empresa informou ao Valor que estava “apurando os fatos” com setor de TI (tecnologia da informação), “para entender a magnitude do ocorrido”. “Estamos empenhados em esclarecer os fatos e corrigir as falhas expostas.”
O Mercado Livre informou que "comprometido com a segurança e proteção de dados dos seus usuários, já solicitou à Hariexpress esclarecimentos sobre eventual incidente e seus impactos".
A Americanas informou que desconhece a ocorrência de qualquer vazamento de dados de seus clientes. "A companhia não identificou qualquer vulnerabilidade em seu ambiente, que permanece íntegro e seguro, aderente a toda legislação vigente", afirmou, em nota.
O Magazine Luiza informou que "contou com a HariExpress como um de seus integradores por um período de dez meses. Durante esse período, a HariExpress adicionou apenas 30 sellers à plataforma da companhia e registrou 12 vendas realizadas". "Até este momento, o Magalu não registrou qualquer vazamento de dados e mantém constante monitoramento da segurança de suas informações".
Nesta quinta-feira (14), após a publicação desta reportagem, os Correios informaram que seguem apurando o caso, "para tomar as providências necessárias e corretivas, no que couber''. "Os Correios inicialmente esclarecem que o material publicado pela SafetyDetectives não específica quais dados pessoais de origem da empresa podem ter sido supostamente violados. Dessa forma, os Correios avaliam que, até o momento, não há indícios de violação de informações, de pessoas físicas ou jurídicas, oriundas da base de dados da estatal. O sistema dos Correios que mantém integração ao servidor citado atua apenas na aferição de peso de encomendas e precificação, não havendo o processamento de dados pessoais. Outros dados compartilhados eventualmente na transação entre os sistemas, tal como o CEP, não permitem identificar titular de dado pessoal, tampouco código de rastreio de objetos."