Falha em site adulto compromete privacidade de usuários, inclusive brasileiros

Por Sérgio Oliveira | 19 de Agosto de 2019 às 12h30

Via de regra, quem frequenta sites adultos prefere não ter seus dados nem sua privacidade divulgados por aí, mantendo toda a navegação no sigilo e no máximo de anonimato possível. Essa política, no entanto, não estava sendo seguida pelos administradores do Luscious e absolutamente todos os usuários cadastrados no site estavam expostos online.

Em um estudo divulgado exclusivamente ao Canaltech no Brasil, a equipe de pesquisa da vpnMentor disse ter identificado uma brecha de segurança que permitia acesso indiscriminado e irrestrito ao banco de dados do Luscious, um site que reúne material pornográfico publicado por seus frequentadores. Nessa base de dados, informações como nome do usuário, e-mail pessoal, gênero, log de atividades e até localização de mais de 1 milhão de pessoas estavam armazenadas abertamente, sem qualquer tipo de proteção ou criptografia.

Cyberbullying e extorsão

Os especialistas em segurança da vpnMentor, Noam Rotem e Ran Locar, explicam que embora os dados não entreguem diretamente a identidade dos usuários, eles servem como ponto de partida para rastreamento, exploração e prática de crimes virtuais.

Além dos dados pessoais armazenados em texto simples, sem qualquer camada de criptografia, o banco de dados também reunia informações sobre atividades e comportamento dos frequentadores do Luscious. É possível associar uploads de fotos e vídeos, além de comentários, favoritos, seguidores e publicações nos blogs da plataforma a cada uma das contas. Algumas dessas publicações, inclusive, têm uma natureza bastante pessoal e intimista, com usuários escrevendo sobre problemas pessoais, financeiros e até emocionais.

Associe isso ao fato de todos os usuários cadastrados no site adulto terem suas localizações armazenadas e 80% deles utilizarem endereços de e-mail reais e o que temos é um prato cheio para que indivíduos mal-intencionados somem a + b e deem início a campanhas de phishing, cyberbullying e extorsão.

Desses métodos, o mais "simples" é, sem dúvidas, o phishing, com os usuários recebendo e-mails falsos se passando por e-commerces, instituições bancárias ou de ensino, e solicitando a inserção de senhas, dados de cartão de crédito e afins. Esse método também pode servir de porta de entrada para a instalação de ransomwares, com os indivíduos se vendo obrigados a pagarem para reaver o acesso a seu computador e/ou dispositivos móveis.

Num outro processo, este mais trabalhoso e que envolve engenharia social, hackers podem, a partir do endereço de e-mail, identificar tais indivíduos em redes sociais, como o Facebook e o Instagram, e ameaçar expô-los online ou na vida real, pedindo dinheiro em troca de silêncio.

Exemplo de registro obtido pela exploração da base de dados do Luscious
Exemplo de registro obtido pela exploração da base de dados do Luscious. A partir desses registros era possível rastrear toda a movimentação do usuário no site e traçar seu perfil comportamental (Imagem: vpnMentor)

Brasileiros também foram afetados

O relatório da vpnMentor destaca que todos os 1,1 milhão de usuários cadastrados no Luscious foram expostos devido à falha de segurança no banco de dados do site. Desse total, os mais afetados foram usuários da Alemanha, que contabilizam 50 mil registros na base do portal. O Brasil também faz parte dessa conta e é o sétimo país com mais usuários registrados: cerca de 10 mil — "embora o número possa ser maior", destaca a companhia. Todos expostos, esse pessoal gera 1,4 milhão de acessos mensais ao portal.

Mais impressionante que a extensão dessa falha é o fato de que uma boa parte dos usuários brasileiros estarem cadastrados com e-mails corporativos e governamentais, que contêm seus nomes completos. "Isso torna não só os usuários vulneráveis, mas também as empresas que os contrataram", destaca a empresa de cibersegurança ao Canaltech. "Com acesso a endereços de e-mail governamentais, hackers criminosos podem segmentar suas ações de várias maneiras".

Número de usuários afetados por país
País Estimativa com base nos e-mails cadastrados
Alemanha +50 mil
França +40 mil
Rússia +35 mil
Polônia +20 mil
Itália +18 mil
Canadá +15 mil
Brasil +10 mil
Holanda +8 mil
Espanha +7 mil
Suécia +6 mil
Japão +6 mil
Índia +6 mil
Austrália +5 mil
Israel +1 mil

Brecha foi fechada

Em seu relatório, a vpnMentor explica que todo esse transtorno poderia ter sido evitado se o Luscious implementasse medidas básicas de segurança, como a correta configuração dos servidores e regras adequadas de acesso para que o banco de dados não ficasse exposto online para qualquer indivíduo mal-intencionado.

A companhia também informa que o problema, descoberto no dia 15 de agosto, foi prontamente relatado aos responsáveis pelo Luscious. De acordo com o Shodan, um mecanismo de busca por dispositivos e banco de dados vulneráveis, a brecha estava aberta pelo menos desde o dia 4 de agosto. A correção só ocorreu na manhã desta segunda-feira (19).

Se você faz parte do Luscious, a recomendação é mudar imediatamente os detalhes da sua conta, incluindo nome de usuário e e-mail. Para manter-se seguro até mesmo em casos como este, sempre busque fornecer um username que não esteja relacionado ao seu nome, nem ao seu endereço de e-mail ou qualquer outra conta que você tenha em outros sites e serviços. Outra dica valiosa é utilizar e-mails temporários para realizar o cadastro, de maneira a dissociar completamente seu perfil da sua pessoa, sobretudo em sites e serviços em que você quer manter a discrição.

Gostou dessa matéria?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.