Hackers se aproveitaram de uma falha de segurança em um cinto de castidade masculino conectado à Internet para tentar extorquir dinheiro dos usuários.
Produzido por uma empresa chinesa chamada Qiui, o Cellmate tem uma falha em sua interface de comunicação, que permite a um hacker bloquear o aparelho e impedir que ele reaja aos sinais para desbloqueio enviados por um servidor.
E foi exatamente o que aconteceu. Segundo um pesquisador de segurança do site Vx Underground, que coleta amostras de malware, um usuário do cinto de castidade recebeu uma mensagem de um hacker dizendo: “seu pênis agora é meu!”.
De acordo com o Vice News a vítima, que se identificou apenas como Robert, disse que o invasor pedia um resgate de 0,02 Bitcoin (Cerca de R$ 3.500). Ao verificar seu Cellmate, Robert constatou que ele realmente estava trancado e não respondia mais aos comandos. “Por sorte eu não estava usando ele quando isso aconteceu”, disse.
Como o aparelho foi projetado para travar um anel de metal sob o pênis do usuário, em caso de invasão é necessário o uso de ferramentas de corte para libertá-lo, já que não há uma função de emergência que o abra.
A falha que permite o ataque não é nova: ela foi divulgada em outubro passado pela Pen Test Partners, uma empresa de segurança da Inglaterra. Os pesquisadores descobriram que a interface de comunicação (API) usada entre o Cellmate e os servidores da Qiui não é segura, e expõe uma incrível quantidade de informações sensíveis. Entre elas os nomes dos usuários, registros das conversas e localização exata, além de permitir o envio de comandos a qualquer aparelho no planeta.
A descoberta da vulnerabilidade ocorreu em junho de 2020, quando os pesquisadores contataram a Qiui e informaram sobre o problema. A empresa colocou no ar uma nova versão da API corrigindo a maioria dos problemas, mas deixou a versão antiga no ar. Apenas novos usuários tiveram acesso à correção, e quem já utilizava o app não foi informado de que deveria baixar um update.
Alex Lomas, analista da Pen Test Partners, vê o caso como um exemplo da importância das empresas manterem um canal de comunicação com os pesquisadores de segurança. “Quase toda empresa ou produto terá algum tipo de vulnerabilidade durante sua vida. Talvez não tão ruim quanto esta, mas alguma. É importante que todas as empresas tenham uma forma para que os pesquisadores possam contatá-las, e que se mantenham em comunicação com eles”.
Fonte: Vice News
Tags: