Sistema de afiliados do Magazine Luiza expõe dados de parceiros e clientes [Exclusivo]

Hoje no início da manhã recebi mensagens de colegas que, assim como eu, também fazem parte do programa de afiliados do Magazine Luiza – Parceiro Magalu (ou antigo Magazine Você) –, e todas relatavam o mesmo problema: um bug no painel de controle, que estava exibindo dados de outras contas do sistema.

Corri para me logar no site parceiromagalu.com.br e conferir se o problema estava realmente acontecendo, e, de fato, com apenas alguns cliques nos botões do painel de controle, eu já estava acessando os dados de outros afiliados: vendas, comissões, nome completo, imagem de perfil, e até os nomes completos dos compradores.

Capturei algumas imagens para comprovar:

Ao clicar em qualquer botão do menu esquerdo, minha conta era trocada para a de outra pessoa, de forma aleatória.
A cada clique uma nova conta era exibida, e eu pude ver as vendas e comissões do parceiro, além dos nomes dos comparadores, entre outros dados.

Eu uso o sistema de afiliados do Magalu há anos aqui no Mobizoo, e confesso que sempre achei o site do programa bem fraco em termos de funcionalidades, e, principalmente, em segurança. A impressão que tenho é que esse é um sistema bastante negligenciado pela TI da empresa, e por isso a fragilidade.

Entrei em contato por email com o suporte do serviço relatando o fato, porém até o fechamento desta matéria, não obtive resposta.

Atualização (16/6/2021):

Ontem à noite uma das administradoras do grupo oficial do programa Parceiro Magalu no Facebook publicou o seguinte comunicado:

No comunicado não há menção sobre o acesso aos dados de outros parceiros, portanto seguimos aguardando maiores esclarecimentos.

Mais sobre: compras