Vulnerabilidade deixa vídeos de câmeras expostos há 11 meses. Dispositivo está à venda no Brasil.

Por Paulo Alves, para o TechTudo

Uma falha na plataforma das câmeras de segurança da marca Wyze expôs, por cerca de 11 meses, dados de cerca de 2,4 milhões de consumidores. O erro grave aconteceu, principalmente, nos Estados Unidos. Invasores mal intencionados conseguiam até mesmo monitorar ao vivo as residências do usuário que tinha um dos modelos de câmera afetados. Segundo especialistas da empresa de segurança Twelve Security, este é o vazamento mais sério já visto em todo o mundo. O caso vem à tona logo depois de especialistas da Universidade do Texas alertarem para o perigo do uso de eletrônicos conectados.

Em resposta ao portal especializado CNET, a fabricante admitiu o problema e disse que os dados foram acidentalmente expostos em um processo de migração de servidores. Um funcionário teria falhado em seguir os protocolos de segurança durante o procedimento. Ainda não está claro se a companhia sabe se as informações chegaram a ser interceptadas por possíveis invasores.

Falha em câmera de segurança da marca Wyze expõe vídeo de consumidores há 11 meses — Foto: Divulgação/Wyze

Ao que tudo indica, a falha atingiu, em sua maioria, usuários americanos. Dos 2,4 milhões de usuários que tiveram seus dados expostos, 24% estão localizadas no leste dos Estados Unidos. O demais atingidos estão distribuídos entre outras regiões do país. O erro atingiu também o Reino Unido, Emirados Árabes, Egito e algumas regiões Malásia.

Segundo a Twelve Security, que descobriu o vazamento, a falha envolve uma fragilidade na proteção dos servidores que armazenam as informações coletadas pelos dispositivos domésticos da marca. Os especialistas alertam que a brecha segue presente e os dados ainda podem ser acessados por qualquer pessoa na web, desde que tenha os endereços dos servidores. As informações estariam protegidas apenas por um sistema fraco de senhas, que poderia ser derrubado com a técnica de força bruta.

Com os dados em mãos, um invasor pode fazer login na conta de usuários para visualizar o feed ao vivo das câmeras. Além disso, de acordo com os alertas dos especialistas, também seria possível interceptar diretamente o tráfego para obter as imagens.

Dispositivos afetados

Além de câmeras conectadas, a Wyze comercializa fechaduras inteligentes, lâmpadas e tomadas smart, entre outros aparelhos voltados para automação doméstica. Uma câmera de segurança da marca é vendida atualmente pela Amazon no Brasil, por R$ 443,90.

Os dados expostos incluem endereços de e-mails e credenciais de 24 mil pessoas, que conectaram um aparelho da Wyze à assistente virtual Alexa. O erro também liberou rotinas do IFTTT, informações detalhadas da rede local do usuário, monitoramento de alarmes e detalhes de calendários, além de reconhecimento facial de todos os consumidores que fizeram upload de foto de perfil na conta. Para um pequeno grupo de usuários, a base de dados chega a trazer também informações de saúde, como altura, peso, gênero, densidade óssea, dieta de proteínas diária, entre outros dados pessoais.

Ligação com a China

Ainda segundo a Twelve Security, a vulnerabilidade está presente principalmente nos servidores da Wyze localizados nos Estados Unidos. A empresa foi fundada em 2017 e é sediada no país norte-americano, mas parte de sua infraestrutura, observam os especialistas, está localizada na China.

Certificados dos servidores operados pela Wyze sugerem que a empresa teria ligações com o Alibaba Group, gigante varejista chinês que também oferece serviços na nuvem. Um relatório da firma de segurança aponta que as informações que circulam na infraestrutura chinesa está mais protegida.

Fonte: TechTudo