Braziliaans e-commercebedrijf Hariexpress lekt 1,75 miljard gevoelige bestanden

Ongeveer 1,75 miljard gevoelige bestanden zijn gelekt door een Braziliaanse e-commerce-integrator die diensten levert aan enkele van de grootste online shoppingwebsites van het land.

Hariexpress heeft zijn hoofdkantoor in São Paulo en integreert meerdere processen in een enkel platform om de efficiëntie en operationele capaciteit van retailers met meer dan één e-commerce winkel te verbeteren. Enkele van de klanten van het bedrijf zijn Magazine Luiza, Mercado Livre, Amazon en B2W Digital. De nationale postdienst, Correios, is ook een van de partners van het bedrijf en werd ook getroffen door het incident.

Volgens beveiligingsonderzoeker Anurag Sen van Safety Detectives, die het lek in juli 2021 ontdekte, wordt het incident toegeschreven aan een verkeerd geconfigureerde en onbeschermde ElasticSearch-server en omvat het meer dan 610 GB aan blootgestelde gegevens. De onderzoekers merkten op dat ze na een eerste contact niet succesvol waren in hun pogingen om de communicatie met het bedrijf te hervatten.

Bankgegevens van klanten zijn volgens de experts niet gecompromitteerd; aan de andere kant bracht het lek een enorme reeks gevoelige informatie aan het licht, waaronder de volledige namen van klanten, e-mailadressen, zakelijke en woonadressen, bedrijfsregistratie- en burgerservicenummers.

Bovendien werden volgens Safety Detectives ook allerlei details met betrekking tot aankopen, waaronder datums, tijden en prijzen van verkochte producten, evenals kopieën van facturen en inloggegevens voor de Hariexpress-service, openbaar gemaakt. De onderzoekers konden het exacte aantal getroffen gebruikers niet inschatten, vanwege de hoeveelheid dubbele e-mailadressen die in de blootgestelde set gegevens werden gevonden, maar er wordt geschat dat enkele duizenden gebruikers mogelijk door het lek werden getroffen.

Bovendien is volgens de onderzoekers niet te zeggen of andere partijen toegang hebben gehad tot de data. De experts waarschuwden dat de dataset, die informatie bevat die gebruikers van door het bedrijf geïntegreerde marktplaatsen direct identificeert, kan worden gebruikt voor phishing- en social engineering-aanvallen. Het rapport waarschuwde ook voor het potentieel voor andere soorten misdrijven, zoals inbraken, aangezien de blootgelegde gegevens woon- en bedrijfsadressen en afpersing omvatten, aangezien de informatie ook aankopen van intieme producten omvat.

Gecontacteerd door ZDNet, reageerde het bedrijf niet op verzoeken om commentaar. Het Braziliaanse nationale agentschap voor gegevensbescherming werd ook gecontacteerd voor commentaar op de zaak en had op het moment van publicatie nog niet gereageerd.

Posted By :sdy hari ini