O Fatal Model, um dos principais serviços de acompanhantes do Brasil, pode ter exposto dados pessoais na internet.
Informações como endereços de e-mail, números de telefone, detalhes de contas e informações de dispositivos utilizados para acessar a plataforma parecem ter aparecido junto com registros internos da empresa em dois servidores abertos, sem proteção por senhas ou verificação de acesso.
Segundo o pesquisador de segurança digital Jeremiah Fowler, do Website Planet, um dos volumes teria mais de 14,6 milhões de entradas, com um tamanho total de 19,1 GB.
Entre os dados dos perfis citados, também teriam sido encontradas informações de uma segunda conta de armazenamento, com 700 GB e 3,5 milhões de arquivos relacionados às operações internas do Fatal Model.
De acordo com o relatório publicado pelo especialista, esta segunda infraestrutura estaria hospedada no serviço AWS e apresentaria dados de aplicação e desenvolvimento da plataforma, bem como tokens de acesso e registros de dispositivos.
Mais de 68 mil imagens e vídeos de verificação de acompanhantes que anunciam no Fatal Model também estariam concentrados no volume, com datas entre 2022 e 2023.
Não é possível determinar o número exato de pessoas afetadas pela exposição indicada pelo Website Planet, que ao todo reuniria mais de 18 milhões de registros de diferentes categorias.
O relatório do especialista sugere a presença de informações de acompanhantes e também usuários da plataforma, enquanto o Fatal Model afirmou que apenas dados públicos estariam disponíveis nos servidores desprotegidos.
Em nota enviada ao Canaltech, a empresa disse que informações como números de telefone, bem como imagens e vídeos de verificação, são divulgados publicamente na plataforma como parte dos anúncios de acompanhantes.
Segundo a Fatal Model, não há nenhuma evidência de exposição de dados sensíveis ou vazamento de informações confidenciais.
Ainda falando oficialmente sobre o assunto, o serviço disse que os servidores listados pelo especialista correspondem a infraestruturas de teste, que também armazenam dados ou informações utilizadas em tarefas de desenvolvimento da plataforma.
Após a descoberta da exposição, camadas adicionais de segurança foram adicionadas para prevenir ataques que visavam sua indisponibilidade, por exemplo.
Como um dos maiores sites de acompanhantes do Brasil, o Fatal Model disse ainda investir em medidas de segurança e iniciativas que melhoram a confiabilidade dos serviços, que seriam alvo de milhões de tentativas de ataques cibernéticos todos os meses.
A empresa também indicou que esses critérios se aplicam à verificação de usuários e anunciantes, como uma maneira de combater perfis fraudulentos.
Ao relatar o caso, Fowler destaca o risco de fraudes e campanhas de assédio contra os usuários possivelmente listados em uma exposição desse tipo.
Além disso, existe o risco de raspagem de dados, com as informações, mesmo públicas, podendo ser catalogadas a partir da infraestrutura desprotegida para o lançamento de campanhas de phishing contra usuários, acompanhantes e outros envolvidos na operação do Fatal Model.
O especialista ainda chama a atenção para as violações combinadas.
"Uma exposição de dados pode levar à identificação de outras vulnerabilidades em outras áreas da rede da empresa", diz ele no relatório, apontando, por exemplo, a presença de informações na primeira infraestrutura desprotegida que levou à descoberta da segunda, onde estavam as informações internas.
Para os usuários e também trabalhadores expostos, a recomendação é prestar atenção nos contatos que chegam em nome do Fatal Model ou de outras empresas semelhantes.
O ideal é evitar clicar em links ou responder a solicitações, buscando sempre meios oficiais de atendimento caso suspeitem que uma solicitação é verdadeira mas não tenham certeza quanto à origem da comunicação.
Medidas básicas de higiene digital, como o uso de senhas seguras e autenticação em duas etapas, também ajudam a proteger contas e serviços online de vazamentos de dados, principalmente aqueles que, ao contrário do que foi relatado aqui, também possuem credenciais e outras informações de acesso.
Enfim, é importante manter o smartphone e o computador atualizados, bem como usar antivírus e outros softwares de segurança que ajudam a detectar spam e sites fraudulentos.
Publicidade
O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...