Serviço de acompanhantes teria dados pessoais expostos na internet; empresa nega
Por Felipe Demartini • Editado por Wallace Moté | •
O Fatal Model, um dos principais serviços brasileiros de acompanhantes, pode ter exposto dados pessoais na internet. Informações como endereços de e-mail, números de telefone, detalhes de contas e informações de dispositivos usados no acesso à plataforma apareceriam juntamente com registros internos da própria companhia em dois servidores abertos, sem proteção por senhas ou verificação de acesso.
- Saiba como evitar que seus dados sejam vazados
- Golpes românticos: como reconhecer os sinais de que você está sendo enganado
De acordo com o pesquisador em segurança digital Jeremiah Fowler, da Security Discovery, um dos volumes contaria com mais de 14,6 milhões de entradas, com um tamanho total de 19,1 GB. Em meio aos dados de perfis citados, também teriam sido encontradas informações de uma segunda conta de armazenamento, com 700 GB e 3,5 milhões de arquivos relacionados às operações internas do Fatal Model.
De acordo com o relatório publicado pelo especialista, esta segunda infraestrutura estaria hospedada no serviço AWS e traria dados de aplicação e desenvolvimento da plataforma, assim como tokens de acesso e registros de dispositivos. Mais de 68 mil imagens e vídeos de verificação de acompanhantes que anunciam no Fatal Model também estariam concentrados no volume, com datas entre 2022 e 2023.
Não é possível precisar o número exato de pessoas atingidas pela exposição apontada pelo Website Planet, que no total reuniria mais de 18 milhões de registros de diferentes categorias. O relatório do especialista aponta para a presença de informações de acompanhantes e também usuários da plataforma, enquanto a Fatal Model apontou que apenas dados públicos estariam disponíveis nos servidores desprotegidos.
Em comunicado enviado ao Canaltech, a empresa afirmou que informações como números de telefone, assim como imagens e vídeos de verificação, são divulgados publicamente na plataforma como parte dos anúncios de acompanhantes. De acordo com a Fatal Model, não há nenhuma evidência de exposição de dados sensíveis ou vazamento de informações confidenciais.
Ainda falando oficialmente sobre o assunto, o serviço disse que os servidores listados pelo especialista correspondem a infraestruturas de teste, que também armazenam dados ou informações usadas em tarefas de desenvolvimento da plataforma. Após a descoberta da abertura, camadas adicionais de segurança foram adicionadas para impedir ataques que visassem sua indisponibilidade, por exemplo.
Como um dos maiores sites de acompanhantes do Brasil, o Fatal Model disse ainda investir em medidas de segurança e iniciativas que melhorem a confiabilidade dos serviços, que seriam alvo de milhões de tentativas de ataques cibercriminosos todos os meses. A empresa apontou ainda que tais critérios também se aplicam à verificação de usuários e anunciantes, como forma de combater perfis fraudulentos.
Exposição de dados pode levar a golpes
Ao reportar o caso, Fowler aponta o risco de fraudes e campanhas de assédio contra os usuários eventualmente listados em uma exposição desse tipo. Além disso, há o risco de raspagem de dados, com as informações, mesmo públicas, podendo ser catalogadas a partir da infraestrutura desprotegida para o lançamento de campanhas de phishing contra usuários, acompanhantes e outros envolvidos na operação do Fatal Model.
O especialista ainda chama a atenção para os comprometimentos combinados. “Uma exposição de dados pode levar à identificação de outras vulnerabilidades em demais áreas da rede da companhia”, afirma no relatório, apontando, por exemplo, a presença de informações na primeira infraestrutura desprotegida que levou à descoberta da segunda, onde estavam as informações internas.
Aos usuários e também trabalhadores expostos, a recomendação é de atenção aos contatos que cheguem em nome da Fatal Model ou outras empresas similares. O ideal é evitar clicar em links ou responder a solicitações, buscando sempre meios de atendimento oficiais caso desconfiem que uma solicitação é verdadeira mas não tenham certeza quanto à origem da comunicação.
Medidas básicas de higiene digital, como o uso de senhas seguras e autenticação em duas etapas, também ajudam a proteger contas e serviços online de vazamentos de dados, principalmente aqueles que, ao contrário do relatado aqui, também contam com credenciais e outras informações de acesso. Por fim, vale a pena manter smartphone e computador atualizados, bem como usar antivírus e outros softwares de segurança que ajudam a detectar spam e sites fraudulentos.
O que diz o Fatal Model?
Atualização 23/08/2023 22h20: O Fatal Model solicitou a atualização do pronunciamento oficial em relação ao incidente.
"O Fatal Model nega de forma veemente que dados sigilosos de usuários e anunciantes do site tenham sido vazados. É necessário esclarecer que o servidor identificado pelo especialista em segurança, Jeremiah Fowler, nada mais é do que o local em que a plataforma salva todas as fotos publicadas pelos anunciantes, ou seja, todas as imagens que já estão disponibilizadas de forma pública. Logo, os dados a que ele se refere já são públicos, por iniciativa e vontade própria dos anunciantes, que usam a plataforma para divulgar seu trabalho. Não há, portanto, como haver vazamento de dados que se deseja e concede que sejam públicos. No site, informações específicas dos anunciantes, como número de telefone, mídia de comparação, entre outros dados, também são abertos para facilitar o contato entre anunciantes e usuários. A suposta descoberta sobre um amplo vazamento de informações pessoais não procede, em nenhuma hipótese. Para garantir que a acusação não passava de mera especulação, o Fatal Model contratou durante o fim de semana dois dos maiores especialistas em dark web no Brasil para verificar de forma minuciosa se algum dado sigiloso foi tornado público. O resultado da investigação: nenhum usuário ou acompanhante foi impactado pelo suposto vazamento. O Fatal Model é pioneiro em medidas de segurança para combate a perfis fraudulentos, como a mídia de comparação e autenticação facial – por meio da ferramenta Facetec, utilizada amplamente em aplicativos de grandes bancos digitais mundo afora. Contamos com mais de 300 colaboradores dedicados em elaborar medidas de segurança e melhorias que elevam o nível de confiabilidade do site. Além disso, a plataforma conta com: validação do nível de confiabilidade de cada anúncio, combate a anúncios fakes e sistema de denúncias, sendo sério e profissional em relação à segurança e privacidade. O departamento jurídico da empresa já está mobilizado para apurar os danos de imagem oriundos desta infundada acusação. Reafirmamos nossa plena confiança nos nossos sistemas de segurança, que proporcionam, desde 2016, um ambiente profissional, protegido e assertivo para os usuários e anunciantes."
Fonte: Website Planet