CAM4: vazamento expõe dados e conversas de usuários do Brasil e de outros países

Um grande vazamento de dados expôs informações pessoais e privadas de dezenas de milhares de usuários do CAM4, um dos principais sites adultos do mundo. No total, são 10,8 bilhões de registros, incluindo informações que podem identificar usuários diretamente e históricos de transações e conversas entre eles e produtores de conteúdo. O Brasil é o segundo país mais afetado.

O nível do vazamento difere para cada usuário, de acordo com o perfil da plataforma, contendo mais ou menos dados sobre eles. Entre as informações pessoalmente identificáveis que os especialistas encontraram no servidor estão nomes completos, endereços de e-mail, nomes de usuários, país de origem, detalhes do dispositivo usado para acesso, IPs e idioma falado, bem como orientação e preferências sexuais. Hashes de senhas também aparecem no servidor, mas as credenciais em si não vazaram.

Além disso, detalhes da utilização do serviço também podiam ser acessados na infraestrutura aberta, revelando históricos de pagamentos, moeda utilizada para compra de tokens que podem ser dados como gorjeta durante as transmissões, registros de chats e histórico de e-mails e de conversas privadas entre usuários e produtores de conteúdo. Todas as informações que os usuários provavelmente gostariam de manter em sigilo e que apenas aumentam a gravidade da exposição.

De acordo com a Safety Detectives, como os registros não estavam organizados, é impossível saber exatamente quantos usuários foram atingidos pela exposição dos dados. Por outro lado, de acordo com o time de especialistas liderado por Anurag Sen, dá para indicar o número de entradas pertencentes a utilizadores de cada país, com os EUA aparecendo na primeira colocação, com 6,55 milhões. Em segundo está o Brasil, com 5,37 milhões, seguido pela Itália (4,85 milhões), França (4,15 milhões) e Alemanha (3,06 milhões).

Os especialistas também dizem não saber diferenciar exatamente quais dados pertencem a usuários ou produtores de conteúdo, em sua maioria amadores, mas afirma que os streamers da plataforma também podem ter sido comprometidos. As contas do CAM4 são globais e permitem tanto a publicação de vídeos e transmissões ao vivo quanto a interação com outros shows em andamento, enquanto os registros de e-mail e chat podem indicar os valores enviados pelos utilizadores aos criadores durante as lives.

Em contato com o Canaltech, a Safety Detectives informou que o servidor vulnerável, hospedado na Holanda por uma empresa terceirizada, foi fechado pouco depois de os responsáveis pelo CAM4 terem sido informados sobre a falha. O serviço pertence a uma empresa americana chamada Surecom Corporation, enquanto os dados estavam presentes em uma infraestrutura terceirizada. Os especialistas, porém, não souberam informar se houve acesso ao volume por terceiros ou se as informações foram baixadas ou replicadas em outros lugares.

Golpes, fraudes e extorsão

Aos milhões de usuários do CAM4 que possam acabar atingidos pelo vazamento de dados, a cautela é a melhor recomendação. O principal risco, de acordo com os especialistas, são os crimes de roubo de identidade, golpes bancários e phishing, além de chantagens que envolvam as informações pessoais que estavam disponíveis no volume.

O primeiro passo é trocar senhas e ativar a autenticação em duas etapas em serviços de e-mail e redes sociais, cujos endereços e nomes de usuário podem ter vazado a partir dos servidores do CAM4. Como muitas destas contas reúnem serviços de armazenamento e comunicação direta, além de eventuais registros financeiros, essa etapa é essencial para evitar que mais dados sejam comprometidos.

Além disso, a Safety Detectives chama a atenção para possíveis tentativas de extorsão contra os usuários, com bandidos ameaçando entregar as informações privadas obtidas pelo vazamento a familiares, amigos, cônjuges e colegas de trabalho. As informações bancárias disponíveis não permitem fraudes diretas, mas podem ser usadas em e-mails de phishing que tentam obter dados de cartão de crédito ou exigem pagamentos, que são direcionados a contas sob o controle dos criminosos.

Por fim, os usuários podem se ver vítimas de campanhas massificadas de e-mails fraudulentos, contendo malwares para roubo de dados ou ransomwares que sequestram informações e impedem o uso de um dispositivo até o pagamento. O ideal é manter o olho vivo quanto a tentativas dessa categoria e não clicar em links que cheguem por correio eletrônico ou redes sociais, além de evitar o download de aplicativos a partir destes meios.

Resposta oficial

Atualização 05/05/2020 19h58: Em resposta oficial sobre o caso, os responsáveis pelo CAM4 afirmaram apenas 93 indivíduos, sem especificar se tratarem de usuários ou criadores de conteúdo, tiveram os dados expostos na brecha reportada pela Safety Detectives. A empresa afirmou ter iniciado uma investigação interna no momento em que foi notificada sobre a situação e que as informações pessoais não foram acessadas por ninguém além dos responsáveis pela descoberta da abertura e pelos investigadores da própria companhia.

O CAM4 disse ainda ter notificado todos os atingidos e tomado etapas para proteger as contas. A empresa nega a existência de exploração maliciosa da vulnerabilidade ou a perda de dados pessoais e atribuiu a brecha a uma falha em seu firewall, que acabou permitindo que os pesquisadores de segurança acessassem o banco de dados. O serviço se colocou à disposição para responder às perguntas dos produtores de conteúdo e clientes, afirmando que continua acompanhando a situação.

Confira a íntegra do comunicado:

Ontem (segunda-feira, 4 de maio), vários artigos foram publicados por vários meios de comunicação, relatando uma violação de segurança significativa na plataforma do CAM4. O CAM4 foi informado dessa violação pela SafetyDetectives.com, uma comunidade on-line de especialistas em segurança que publica blogs sobre software antivírus e eventos atuais no mundo da segurança de dados. Desenvolvedores e especialistas em segurança foram enviados imediatamente para uma investigação mais aprofundada, e a equipe concluiu sem nenhuma dúvida que absolutamente nenhuma informação de identificação pessoal, incluindo nomes, endereços, e-mails, endereços IP ou dados financeiros, foi acessada indevidamente por qualquer pessoa fora da empresa SafetyDetectives e dos investigadores do CAM4. Em resposta aos números muito grandes relatados na mídia, é importante observar que os números precisos são muito menores. Após uma análise imediata do que certamente parecia ser uma perda de alguns dados, a equipe de segurança do CAM4 determinou que os dados pessoais pertencentes a 93 indivíduos foram acessados ​​pela SafetyDetectives. O CAM4 notificou todos os usuários ativos durante os 30 dias do log deste evento e as etapas que tomamos para proteger suas contas. Em suma, não houve violação de segurança maliciosa, resultando na perda de dados pessoais de qualquer servidor CAM4 em todo o mundo. A investigação interna concluiu que nenhuma outra conexão com os servidores CAM4 foi feita após uma falha no firewall que permitiu ao SafetyDetectives acessar o site. O CAM4 leva muito a sério a segurança de dados e a segurança de seus emissores e público-alvo, e possui uma equipe de profissionais escolhidos a dedo monitorando a integridade do site a cada segundo do dia. O CAM4 continuará a ser diligente em relação ao acompanhamento e ficaremos felizes em responder as perguntas para aliviar quaisquer preocupações do público e da Comunidade CAM4.

Fonte: Safety Detectives