Tudo o que é grátis, você trará dinheiro, indiretamente, é claro, com seus dados!

Essa é uma premissa antiga e nem sempre se aplica à tudo, mas em alguns casos pode acontecer!
O primeiro passo é desconfiar SEMPRE! Sabe aquela brincadeira de criança, qual a primeira regra do escoteiro? – Sempre alerta! (pois é)

De acordo com o site The Hack, o sistema de Wi-Fi LetsWifi, da LetsUP, apresentou uma falha de segurança que expôs dados de mais de 70 mil brasileiros. Por sorte (ou não), apenas 82 estabelecimentos utilizam o serviço ao longo de todo esse Brasil(zão). O LetsWifi pode ser encontrado em redes de cafeterias, confeitarias, lojas e restaurantes.

A LetsWifi age como um gateway de conexão, exigindo que os clientes que pretendem se conectar realizem um cadastro para usar o WiFi visitante. Com isso, a plataforma promete prover inteligência de mercado ao analisar informações pessoais dos consumidores (nome, email, sexo, idade etc.) para ajudar o lojista a personalizar sua experiência de acordo com o seu público. O site oficial da ferramenta destaca a sua facilidade de uso e de customização. (Ou seja, te rastreiam, coletam suas informações e repassam ao lojista [esperamos que somente à ele])

O problema é que, conforme denunciado por uma fonte anônima, a LetsUp “esqueceu” um diretório configurado como público no qual eram armazenados o código-fonte da aplicação comercializada, permitindo que qualquer pessoa fizesse o download dos arquivos. Dentro dos documentos, era possível encontrar as credenciais do banco de dados MySQL da plataforma, que contém toda a relação de empresas usuárias da plataforma, tal como todos os seus clientes; no total, são 72.457 indivíduos afetados.

Quanto aos dados dos usuários, as informações expostas incluem:

  • nome completo
  • perfil do Facebook (se disponível)
  • data de nascimento
  • email
  • sexo
  • imagem do perfil
  • data de criação
  • data de atualização ou último acesso
  • lista de dispositivos usados (com seus respectivos endereços MAC [o que é perigosíssimo])
  • lojas visitadas e até mesmo duração da conexão.

No que tange aos dados dos lojistas, temos:

  • o nome da empresa
  • número do CNPJ
  • tipo de estabelecimento
  • número de série dos hotspots configurados.

Perceba que uma simples conexão gratuita pode coletar muita informação sua.

O que tem lá?

Ao acessar a URL indicada pela fonte, ficou confirmado que, de fato, os arquivos estavam disponíveis publicamente e incluíam as credenciais necessárias para acessar o banco de dados MySQL da plataforma remotamente — aqui, cabe a observação de que o nome de usuário e a senha em questão eram extremamente fracas e previsíveis.

O delator observa ainda que, além do roubo de informações, um criminoso poderia facilmente obter um perfil comportamental dos clientes ao cruzar os dados para obter um relatório com dias e horários de acesso, tal como lojas visitadas com maior frequência, tempo de permanência no local e dispositivo primário utilizado. Tanto detalhamento assim abre espaço para o planejamento de golpes e crimes altamente personalizados via e-mail, ligações e WhatsApp.

Outro ataque possível seria a modificação de partes da aplicação LetsWifi original — seria fácil manipular os arquivos para alterar textos de boas-vindas, mensagens de autenticação e até mesmo a tela de inscrição, criando formulários maliciosos que capturam qualquer tipo de dado dos internautas.

E como está agora?

Neste presente momento, os dados já não estão mais disponíveis, não é sabido se a falha foi corrigida ou passada para outro local.

Aviso

Desconfie sempre, não faça cadastro aleatoriamente, não se sabe quem receberá a informação e se (ou pra quem) será repassada, caso seja urgente, considere fechar sua conexão com uma VPN! O que não significa plena segurança, visto que os dados serão inseridos manualmente por você, mas ajuda a por camadas de proteção contra vazamentos.

Se você quer saber mais sobre VPN e privacidade, acompanhe o PodApps Podcast e o canal no Telegram.

Ouça o PodApps Assine o Canal

 

Fonte: The Hack

Show Full Content

Sobre o Autor Ver Histórias

Gustavo Saez
Gustavo Saez

Metódico, focado e objetivo. Antes hater, agora Apple-maníaco por conta do uso contrariado do iPhone 3GS. Host do podcast parceiro do PdiP - PodApps - um podcast focado em mobilidade, produtividade e privacidade.

Anterior Como pular linha na legenda do Instagram
Próximo Como fazer fotos com o fundo desfocado em qualquer iPhone e iPad
Business Chat não é suportado neste dispositivo.

Clube do Professor

Conteúdo exclusivo e suporte prioritário.
Conheça agora

Faça parte da Lista VIP!

Mais lidos na Semana

Destaques

Close

PRÓXIMA HISTÓRIA

Close

Como usar o modo escuro no iOS 13

26 de agosto de 2019
Close