Smartwatch expõe localização de crianças e vazamento expõe dados de mais de 1 bilhão de pessoas

Buscamos sempre trazer o que acontece no Brasil e no mundo relacionado a vazamentos de dados e à LGPD. Hoje vamos comentar dois casos que ocorreram no último mês.

Um caso ocorreu com uma marca de smartphones infantil, expondo a geolocalização de crianças e seus pais, já o outro foi um vazamento de dados que expôs redes sociais e telefone de mais de um bilhão de pessoas.

Caso Smartwatch

Um smartwatch infantil, sofreu falhas no seu aplicativo, permitindo que hackers acessassem dados pessoais e informações de localização de mais de 5 mil crianças e também de seus pais.

O incidente foi tão grave que os hackers podiam emparelhar seus celulares com os da criança, saber a qualquer momento onde ela estava e até iniciar bate papos com a vítima.

Um relatório foi publicado pela divisão de testes do AV-TEST, onde os pesquisadores informaram ter encontrado falhas para proteger o aplicativo móvel e back-end do M2 smartwatch, da empresa chinesa SMA.

Projetado para ser um aplicativo móvel complementar, os pais podiam registrar uma conta no SMA, emparelhar o seu smartwatch com o do seu filho, ver localização, realizar chamadas e receber notificações quando a criança saísse de uma área designada.

O incidente ocorreu devido a uma falha na segurança, permitindo que qualquer pessoa consultasse o back-end por meio de uma APLI da web.

Ao testar essa brecha na segurança, os pesquisadores da AV-TEST conseguiram acessar mais de 5 mil usuários do smartwatch M2 e mais de 10 mil contas parentais distribuídas por alguns países da Europa, China, Hong Kong e México.

Após a divulgação da falha na segurança, o M2 foi retirado das prateleiras do distribuidor Pearl e a empresa SMA não se posicionou sobre o ocorrido.

Caso vazamento de dados

Um grave vazamento de dados disponíveis em um servidor público, que extraiu informações das empresas de enriquecimento de dados, expôs redes sociais e telefone de 1,2 bilhão de pessoas, sendo considerado um dos maiores vazamentos da história.

O incidente ocorreu com as informações disponíveis publicamente, adquiridas por duas empresas de enriquecimento de dados, People Data Labs e Oxydata, que trabalham entregando elementos pessoais de milhões de pessoas e vendendo a clientes. Ambas não souberam explicar o que aconteceu.

O vazamento continha quatro bilhões de conjuntos de dados individuais arquivados, totalizando 4 TB de armazenamento. Entre as informações estavam nomes, e-mails, telefone e informações do perfil do LinkedIn e Facebook.

A afirmação da empresa de segurança Data Viper, expôs que as informações estavam disponíveis para qualquer pessoa no link http://35.199.58.125:9200, sem precisar de senha ou autenticação. Quando as empresas apontadas como mantenedoras dos dados foram questionadas pela Data Viper, afirmaram que os servidores citados não pertenciam a elas.

Os pesquisadores não conseguiram apontar com total certeza se elas eram as responsáveis pelos dados, devido ao fato do provedor de nuvem que hospeda o servidor não compartilhar informações de seus clientes. Segundo os pesquisadores é provável que os dados sejam de um cliente dessas empresas de enriquecimento de dados.

Para entender melhor como funciona esse tipo de empresa, elas permitem a coleta de uma única informação sobre uma pessoa e expandem esse perfil de usuário para incluir centenas de novos conhecimentos adicionais, isso tudo por um preço bem baixo. Cada vez que uma empresa contribui em enriquecer um perfil, ela fornece o que sabe sobre a pessoa para a organização enriquecedora.

Casos como esses e a LGPD

Essas duas situações acima, ocorridas no último mês, ilustram como os vazamentos de dados pessoais são mais rotineiros do que pensamos e atingem empresas de diversos segmentos e tamanhos, como gigantes de seus nichos.

Com a entrada em vigor da Lei Geral de Proteção de Dados Pessoais no Brasil, em agosto de 2020, se ocorrer alguma situação como essas citadas dentro de nosso país, as empresas envolvidas receberão sanções que variam de 2% do faturamento anual até 50 milhões de reais.

Se você tem dúvidas se sua empresa precisar estar em compliance com a implantação da LGPD, entre em contato com nossa equipe comercial que tiraremos suas dúvidas.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *