Aplicativo de webcam expõe milhares de informações de usuários online

Por Luiz Nogueira, editado por Fabiana Rolfini 12/02/2021 09h43, atualizada em 12/02/2021 11h16
Webcam
Foto: Proxima Studio/Shutterstock
Compartilhe esta matéria
Ícone Whatsapp Ícone Whatsapp Ícone X (Tweeter) Ícone Facebook Ícone Linkedin Ícone Telegram Ícone Email

Milhares de usuários do Adorcam, um aplicativo utilizado para controlar modelos de webcam, tiveram suas informações pessoais expostas após um vazamento do banco de dados Elasticsearch, que pertence à empresa.  

Quem descobriu a vulnerabilidade foi Justin Paine, pesquisador de segurança, que prontamente avisou a Adorcam sobre o problema. Para resolvê-lo, a empresa privou o banco de dados.

Mesmo assim, o especialista compartilhou que, enquanto estava vulnerável, cibercriminosos poderiam acessar cerca de 120 milhões de linhas de dados ligadas a milhares de usuários.  

Dentre as informações, estavam detalhes sobre a webcam, como localização, se o microfone estava ativo e o nome da rede Wi-Fi em que a câmera estava conectada – além disso, dados sobre o proprietário do equipamento, como endereço de e-mail, estavam disponíveis.  

Informações indicam que capturas de tela também podem ter sido acessadas. Foto: Adorcam//Reprodução

Foram encontradas evidências indicando que a câmera também estava enviando fotos capturadas pela webcam para a nuvem do aplicativo. No entanto, Paine não conseguiu verificar essa descoberta, já que os links para os arquivos haviam expirado.  

Por fim, o especialista afirma que encontrou credenciais codificadas no banco de dados para o servidor MQTT do aplicativo, um protocolo de mensagens frequentemente usado em dispositivos conectados à internet.  

Apesar da descoberta, Paine não testou o funcionamento das credenciais. Isso porque, de acordo com a legislação dos Estados Unidos, essa prática seria ilegal. Mesmo assim, a empresa também foi informada sobre isso.  

O mais intrigante de tudo isso é que Paine verificou que o banco de dados estava sendo atualizado ao vivo. Para confirmar isso, ele criou uma conta nos serviços da empresa e pesquisou pelas informações. Encontrando-as em seguida.  

Embora a sensibilidade dos dados fosse limitada, Paine alerta que algum hacker poderia se aproveitar da falha para criar uma campanha de e-mails de phishing de forma convincente para conseguir informações pessoais. A empresa ainda não se pronunciou sobre o ocorrido. 

Via: TechCrunch

Redator(a)

Luiz Nogueira é redator(a) no Olhar Digital

Redator(a)

Fabiana Rolfini é redator(a) no Olhar Digital