El equipo de ciberseguridad de Safety Detectives descubrió una fuga de datos confidenciales que afectó a la plataforma brasileña Marketplace Integrator Hariexpress. Esta compañía integra varios mercados de comercio electrónico en una sola plataforma, lo que permite a los comerciantes organizar y automatizar procesos en todas sus diferentes tiendas en línea.
Según Safety Detectives, el servidor ElasticSearch mal configurado de Hariexpress expuso una gran cantidad de PII de los clientes de comercio electrónico y de los usuarios de la plataforma. «La última vez que comprobamos el servidor de Hariexpress para verificar su estado, había expuesto más de 1,75 mil millones de registros y más de 610 GB de datos confidenciales. Probablemente era más alto cuando se aseguró».
¿Quién es Hariexpress?
Hariexpress se fundó en São Paulo, Brasil. La compañía integra numerosos procesos de comercio electrónico en una sola plataforma para mejorar la eficiencia y la capacidad operativa de los comerciantes con más de una tienda de comercio electrónico.
Las características incluyen la clonación de tiendas y la gestión unificada de inventario, sin mencionar los análisis de ERP que informan sobre el rendimiento empresarial.
Hariexpress tiene algunos socios importantes que integran sus servicios con la plataforma. Estos incluyen Mercado Livre, B2W Digital, Amazon, Shopee, Magalu, tinyERP, Bling! y Nuvemshop.
Correios es otro socio de Hariexpress. Correios es el servicio postal nacional de Brasil, y el servidor de Hariexpress también ha expuesto datos para esta importante organización.
El equipo de ciberseguridad de Safety Detectives sabe que Hariexpress es el propietario del servidor debido a las numerosas referencias a «Hariexpress» en el nombre del servidor y en todo el contenido de sus registros.
Las referencias a «Hariexpress» se incluyen en todo el contenido del servidor.
¿Qué se filtró?
El servidor ElasticSearch de Hariexpress se dejó sin cifrar sin ninguna protección de contraseña en su lugar. Como resultado, expuso más de 1,75 mil millones de registros, con un total de más de 610 GB de datos.
La base de datos no segura de Hariexpress filtró los detalles de los pedidos de los clientes de comercio electrónico , además de las formas de los datos personales de los consumidores, que incluyen:
- Nombres completos; y «apodos» de la cuenta (nombres de usuario)
- Correos electrónicos
- Números de teléfono
- Direcciones de entrega completas
- Detalles de facturación; incluidas las direcciones de facturación y el monto pagado por los bienes
- Imágenes de la mercancía entregada
El servidor abierto también incluía información de los proveedores, es decir, las empresas que utilizan la plataforma Hariexpress. Esto fueron los datos filtrados de los proveedores de comercio electrónico (vendedores):
- Nombres completos de los vendedores; y «apodos» de la cuenta (nombres de usuario)
- Direcciones de correo electrónico de los vendedores
- Números de teléfono de los vendedores
- Domicilios comerciales / domiciliarios de los vendedores
- Números CNPJ de los vendedores; un número de identificación para una empresa brasileña
- Números de CPF de los vendedores (número de impuestos)
- Detalles de facturación; incluido el precio unitario y el momento de la venta
Hubo otros registros en ElasticSearch abierto de Hariexpress que también expusieron datos confidenciales :
- Enlaces a imágenes de facturas ; que incluía nombres y direcciones de compradores y vendedores
- Nombre de usuario interno y contraseñas cifradas ; para la cuenta de Hariexpress de cada empresa
- Números de seguimiento de pedidos
Los detalles del pedido contenían una larga lista de datos pertenecientes a compradores y vendedores de comercio electrónico.
Los detalles de pedidos filtrados pueden ser un problema en más de un sentido. Algunos registros filtran detalles de las compras sensibles de los clientes de comercio electrónico. Los pedidos que se hicieron de forma privada ahora revelan información personal que puede resultar vergonzosa o perjudicial.
Origen: La plataforma de integración brasileña filtró más de 1,75 mil millones de archivos sensibles
