Tudo o que é grátis, você trará dinheiro, indiretamente, é claro, com seus dados!
Essa é uma premissa antiga e nem sempre se aplica à tudo, mas em alguns casos pode acontecer!
O primeiro passo é desconfiar SEMPRE! Sabe aquela brincadeira de criança, qual a primeira regra do escoteiro? – Sempre alerta! (pois é)
De acordo com o site The Hack, o sistema de Wi-Fi LetsWifi, da LetsUP, apresentou uma falha de segurança que expôs dados de mais de 70 mil brasileiros. Por sorte (ou não), apenas 82 estabelecimentos utilizam o serviço ao longo de todo esse Brasil(zão). O LetsWifi pode ser encontrado em redes de cafeterias, confeitarias, lojas e restaurantes.
A LetsWifi age como um gateway de conexão, exigindo que os clientes que pretendem se conectar realizem um cadastro para usar o WiFi visitante. Com isso, a plataforma promete prover inteligência de mercado ao analisar informações pessoais dos consumidores (nome, email, sexo, idade etc.) para ajudar o lojista a personalizar sua experiência de acordo com o seu público. O site oficial da ferramenta destaca a sua facilidade de uso e de customização. (Ou seja, te rastreiam, coletam suas informações e repassam ao lojista [esperamos que somente à ele])
O problema é que, conforme denunciado por uma fonte anônima, a LetsUp “esqueceu” um diretório configurado como público no qual eram armazenados o código-fonte da aplicação comercializada, permitindo que qualquer pessoa fizesse o download dos arquivos. Dentro dos documentos, era possível encontrar as credenciais do banco de dados MySQL da plataforma, que contém toda a relação de empresas usuárias da plataforma, tal como todos os seus clientes; no total, são 72.457 indivíduos afetados.
Quanto aos dados dos usuários, as informações expostas incluem:
- nome completo
- perfil do Facebook (se disponível)
- data de nascimento
- sexo
- imagem do perfil
- data de criação
- data de atualização ou último acesso
- lista de dispositivos usados (com seus respectivos endereços MAC [o que é perigosíssimo])
- lojas visitadas e até mesmo duração da conexão.
No que tange aos dados dos lojistas, temos:
- o nome da empresa
- número do CNPJ
- tipo de estabelecimento
- número de série dos hotspots configurados.
Perceba que uma simples conexão gratuita pode coletar muita informação sua.
O que tem lá?
Ao acessar a URL indicada pela fonte, ficou confirmado que, de fato, os arquivos estavam disponíveis publicamente e incluíam as credenciais necessárias para acessar o banco de dados MySQL da plataforma remotamente — aqui, cabe a observação de que o nome de usuário e a senha em questão eram extremamente fracas e previsíveis.
O delator observa ainda que, além do roubo de informações, um criminoso poderia facilmente obter um perfil comportamental dos clientes ao cruzar os dados para obter um relatório com dias e horários de acesso, tal como lojas visitadas com maior frequência, tempo de permanência no local e dispositivo primário utilizado. Tanto detalhamento assim abre espaço para o planejamento de golpes e crimes altamente personalizados via e-mail, ligações e WhatsApp.
Outro ataque possível seria a modificação de partes da aplicação LetsWifi original — seria fácil manipular os arquivos para alterar textos de boas-vindas, mensagens de autenticação e até mesmo a tela de inscrição, criando formulários maliciosos que capturam qualquer tipo de dado dos internautas.
E como está agora?
Neste presente momento, os dados já não estão mais disponíveis, não é sabido se a falha foi corrigida ou passada para outro local.
Se você quer saber mais sobre VPN e privacidade, acompanhe o PodApps Podcast e o canal no Telegram.
Ouça o PodApps Assine o Canal
Fonte: The Hack
