Icono del sitio Alta Densidad

Filtran casi 2 mil millones de datos confidenciales de clientes de Mercado Libre, Amazon y del servicio postal nacional de Brasil

El equipo de ciberseguridad de Safety Detectives descubrió una fuga de datos confidenciales que afectó a la plataforma brasileña Marketplace Integrator Hariexpress. Esta compañía integra varios mercados de comercio electrónico en una sola plataforma, lo que permite a los comerciantes organizar y automatizar procesos en todas sus diferentes tiendas en línea.

Según Safety Detectives, el servidor ElasticSearch mal configurado de Hariexpress expuso una gran cantidad de PII de los clientes de comercio electrónico y de los usuarios de la plataforma. «La última vez que comprobamos el servidor de Hariexpress para verificar su estado, había expuesto más de 1,75 mil millones de registros y más de 610 GB de datos confidenciales. Probablemente era más alto cuando se aseguró».

¿Quién es Hariexpress?

Hariexpress se fundó en São Paulo, Brasil. La compañía integra numerosos procesos de comercio electrónico en una sola plataforma para mejorar la eficiencia y la capacidad operativa de los comerciantes con más de una tienda de comercio electrónico.

Las características incluyen la clonación de tiendas y la gestión unificada de inventario, sin mencionar los análisis de ERP que informan sobre el rendimiento empresarial.

Hariexpress tiene algunos socios importantes que integran sus servicios con la plataforma. Estos incluyen Mercado Livre, B2W Digital, Amazon, Shopee, Magalu, tinyERP, Bling! y Nuvemshop.

Correios es otro socio de Hariexpress. Correios es el servicio postal nacional de Brasil, y el servidor de Hariexpress también ha expuesto datos para esta importante organización.

El equipo de ciberseguridad de Safety Detectives sabe que Hariexpress es el propietario del servidor debido a las numerosas referencias a «Hariexpress» en el nombre del servidor y en todo el contenido de sus registros.

Las referencias a «Hariexpress» se incluyen en todo el contenido del servidor.

¿Qué se filtró?

El servidor ElasticSearch de Hariexpress se dejó sin cifrar sin ninguna protección de contraseña en su lugar. Como resultado, expuso más de 1,75 mil millones de registros, con un total de más de 610 GB de datos.

La base de datos no segura de Hariexpress filtró los detalles de los pedidos de los clientes de comercio electrónico , además de las formas de los datos personales de los consumidores, que incluyen:

El servidor abierto también incluía información de los proveedores, es decir, las empresas que utilizan la plataforma Hariexpress. Esto fueron los datos filtrados de los proveedores de comercio electrónico (vendedores):

Hubo otros registros en ElasticSearch abierto de Hariexpress que también expusieron datos confidenciales :

Los detalles del pedido contenían una larga lista de datos pertenecientes a compradores y vendedores de comercio electrónico.

Los detalles de pedidos filtrados pueden ser un problema en más de un sentido. Algunos registros filtran detalles de las compras sensibles de los clientes de comercio electrónico. Los pedidos que se hicieron de forma privada ahora revelan información personal que puede resultar vergonzosa o perjudicial.

Origen: La plataforma de integración brasileña filtró más de 1,75 mil millones de archivos sensibles


Salir de la versión móvil