Falha em site adulto compromete privacidade de usuários, inclusive brasileiros
Por Jones Oliveira | 19 de Agosto de 2019 às 12h30
Via de regra, quem frequenta sites adultos prefere não ter seus dados nem sua privacidade divulgados por aí, mantendo toda a navegação no sigilo e no máximo de anonimato possível. Essa política, no entanto, não estava sendo seguida pelos administradores do Luscious e absolutamente todos os usuários cadastrados no site estavam expostos online.
Em um estudo divulgado exclusivamente ao Canaltech no Brasil, a equipe de pesquisa da vpnMentor disse ter identificado uma brecha de segurança que permitia acesso indiscriminado e irrestrito ao banco de dados do Luscious, um site que reúne material pornográfico publicado por seus frequentadores. Nessa base de dados, informações como nome do usuário, e-mail pessoal, gênero, log de atividades e até localização de mais de 1 milhão de pessoas estavam armazenadas abertamente, sem qualquer tipo de proteção ou criptografia.
Cyberbullying e extorsão
Os especialistas em segurança da vpnMentor, Noam Rotem e Ran Locar, explicam que embora os dados não entreguem diretamente a identidade dos usuários, eles servem como ponto de partida para rastreamento, exploração e prática de crimes virtuais.
Além dos dados pessoais armazenados em texto simples, sem qualquer camada de criptografia, o banco de dados também reunia informações sobre atividades e comportamento dos frequentadores do Luscious. É possível associar uploads de fotos e vídeos, além de comentários, favoritos, seguidores e publicações nos blogs da plataforma a cada uma das contas. Algumas dessas publicações, inclusive, têm uma natureza bastante pessoal e intimista, com usuários escrevendo sobre problemas pessoais, financeiros e até emocionais.
Associe isso ao fato de todos os usuários cadastrados no site adulto terem suas localizações armazenadas e 80% deles utilizarem endereços de e-mail reais e o que temos é um prato cheio para que indivíduos mal-intencionados somem a + b e deem início a campanhas de phishing, cyberbullying e extorsão.
Desses métodos, o mais "simples" é, sem dúvidas, o phishing, com os usuários recebendo e-mails falsos se passando por e-commerces, instituições bancárias ou de ensino, e solicitando a inserção de senhas, dados de cartão de crédito e afins. Esse método também pode servir de porta de entrada para a instalação de ransomwares, com os indivíduos se vendo obrigados a pagarem para reaver o acesso a seu computador e/ou dispositivos móveis.
Num outro processo, este mais trabalhoso e que envolve engenharia social, hackers podem, a partir do endereço de e-mail, identificar tais indivíduos em redes sociais, como o Facebook e o Instagram, e ameaçar expô-los online ou na vida real, pedindo dinheiro em troca de silêncio.
Brasileiros também foram afetados
O relatório da vpnMentor destaca que todos os 1,1 milhão de usuários cadastrados no Luscious foram expostos devido à falha de segurança no banco de dados do site. Desse total, os mais afetados foram usuários da Alemanha, que contabilizam 50 mil registros na base do portal. O Brasil também faz parte dessa conta e é o sétimo país com mais usuários registrados: cerca de 10 mil — "embora o número possa ser maior", destaca a companhia. Todos expostos, esse pessoal gera 1,4 milhão de acessos mensais ao portal.
Mais impressionante que a extensão dessa falha é o fato de que uma boa parte dos usuários brasileiros estarem cadastrados com e-mails corporativos e governamentais, que contêm seus nomes completos. "Isso torna não só os usuários vulneráveis, mas também as empresas que os contrataram", destaca a empresa de cibersegurança ao Canaltech. "Com acesso a endereços de e-mail governamentais, hackers criminosos podem segmentar suas ações de várias maneiras".
Número de usuários afetados por país | |
País | Estimativa com base nos e-mails cadastrados |
Alemanha | +50 mil |
França | +40 mil |
Rússia | +35 mil |
Polônia | +20 mil |
Itália | +18 mil |
Canadá | +15 mil |
Brasil | +10 mil |
Holanda | +8 mil |
Espanha | +7 mil |
Suécia | +6 mil |
Japão | +6 mil |
Índia | +6 mil |
Austrália | +5 mil |
Israel | +1 mil |
Brecha foi fechada
Em seu relatório, a vpnMentor explica que todo esse transtorno poderia ter sido evitado se o Luscious implementasse medidas básicas de segurança, como a correta configuração dos servidores e regras adequadas de acesso para que o banco de dados não ficasse exposto online para qualquer indivíduo mal-intencionado.
A companhia também informa que o problema, descoberto no dia 15 de agosto, foi prontamente relatado aos responsáveis pelo Luscious. De acordo com o Shodan, um mecanismo de busca por dispositivos e banco de dados vulneráveis, a brecha estava aberta pelo menos desde o dia 4 de agosto. A correção só ocorreu na manhã desta segunda-feira (19).
Se você faz parte do Luscious, a recomendação é mudar imediatamente os detalhes da sua conta, incluindo nome de usuário e e-mail. Para manter-se seguro até mesmo em casos como este, sempre busque fornecer um username que não esteja relacionado ao seu nome, nem ao seu endereço de e-mail ou qualquer outra conta que você tenha em outros sites e serviços. Outra dica valiosa é utilizar e-mails temporários para realizar o cadastro, de maneira a dissociar completamente seu perfil da sua pessoa, sobretudo em sites e serviços em que você quer manter a discrição.