Cibercriminoso sequestra cinto de castidade e tenta “prender” usuário

O mercado de Internet das Coisas (IoT, do original em inglês Internet of Things) pode ser muito divertido — mas também é extremamente perigoso. Colocar conectividade em qualquer item do seu cotidiano parece uma ideia bem bacana, mas, infelizmente, os fabricantes desses aparelhos raramente prestam atenção no quesito segurança cibernética, mantendo-os repletos de vulnerabilidades que podem ser exploradas por cibercriminosos.

• IoT precisa focar na segurança dos dados
• Segurança para IoT: preocupação dos consumidores e oportunidade para operadoras
• Pesquisa: dispositivos domésticos possuem várias vulnerabilidades perigosas

E, para ilustrar esse cenário da forma mais bizarra possível, temos aqui um caso bastante excêntrico: diversas homens ao redor do mundo quase tiveram seus órgãos genitais sequestrados por um agente malicioso por conta de brechas no Cellmate, um cinto de castidade inteligente fabricado pela empresa chinesa Qiui. O “brinquedinho” é bem famoso entre a comunidade praticamente de fetiches BDSM.

Como você já deve ter imaginado, o Cellmate permite que você — ou o seu parceiro — bloqueiem e desbloqueiem o cinto através de um aplicativo dedicado, de forma remota, sem a necessidade das antiquadas e retrógradas chaves. O problema é que, em outubro do ano passado, pesquisadores da PenTest Partners descobriram que a API do aparelho estava aberta, permitindo que agentes maliciosos invadissem e sequestrassem os cintos alheios.

E foi exatamente isso que vem acontecendo ao longo das últimas semanas. Outro pesquisador — identificado simplesmente como Smelly — conseguiu print screens de conversas entre vítimas e um cibercriminoso. Afirmando que “seu pênis é meu agora”, o invasor requisitou o pagamento de 0.02 bitcoin (cerca de R$ 4 mil na cotação atual da moeda) para destrancar o Cellmate sequestrado.

Felizmente, a vítima (que preferiu se identificar simplesmente como Robert) não estava usando seu cinto no momento — se estivesse, estaria até hoje impedido de ter uma ereção. Mesmo assim, ele constatou que, de fato, havia perdido o poder de trancar e destrancar o gadget pelo app. Outra vítima, identificada como “RJ”, também recebeu a mensagem do criminoso, mas também havia parado de usar o Cellmate há anos.

Procurada pela VICE, a Qiui não se pronunciou a respeito do assunto; porém, um distribuidor autorizado da marca nos Estados Unidos contatou o veículo e garantiu que a vulnerabilidade em questão havia sido corrigida na atualização mais recente do aplicativo. Infelizmente, como bem sabemos, manter softwares atualizados não é um hábito que os internautas costumam adotar.

“Quase todas as empresas e produtos terão algum tipo de vulnerabilidade em algum ponto de sua existência. Talvez não seja tão ruim quanto esta, mas alguma terá. É importante que todas as empresas tenham uma forma de receber contato de pesquisadores e trabalhar em conjunto com eles”, afirma Alex Lomas, pesquisador da PenTest Partners responsável por auditar o Cellmate. 

Fonte: VICE