Uma violação de dados de Pickaboo Moments expõe fotos e vídeos de bebês

Peekaboo Moments Data Leak

Quando os especialistas em segurança dizem que alguém pode ser vítima de uma violação de dados, eles não estão exagerando com a esperança de colocar todos em estado de pânico desnecessário. Dan Ehrlich, de uma empresa de consultoria de segurança chamada Twelve Security, descobriu recentemente um banco de dados bastante grande, que mostrou que você nem precisa saber como usar um dispositivo eletrônico para comprometer sua privacidade.

O banco de dados em questão estava hospedado em servidores pertencentes à Alibaba Cloud e continha cerca de 100 GB de informações coletadas entre março de 2019 e janeiro de 2020. Havia muito o que se preocupar, mas Ehrlich ficou especialmente preocupado quando encontrou links que levavam a o que pareciam fotos e vídeos de bebês. Após uma breve investigação, ele percebeu que os dados estavam vazando do Peekaboo Moments - um aplicativo móvel que ajuda os pais a acompanhar o crescimento de seus filhos.

Peekaboo Moments expõe toneladas de dados pessoais

Ehrlich entrou em contato com Jeremy Kirk, do Information Security Media Group, que tentou ajudar na divulgação responsável do incidente. Os dois vasculharam o banco de dados exposto e descobriram que ele continha mais de 70 milhões de arquivos de log que, além de links para fotos e vídeos, continham todo tipo de informação pessoal que pertencia a pais e bebês. Os endereços de e-mail associados a "pelo menos" 800 mil contas Peekaboo Moments foram encontrados nos dados, assim como as chaves de API que permitem que os usuários conectem o aplicativo aos seus perfis do Facebook. Armado com essas informações, um hacker pode acessar informações compartilhadas na rede social de Mark Zuckerberg, e o ataque foi ainda mais fácil porque o Peekaboo Moments expôs algumas de suas próprias chaves de API.

Os registros também continham estatísticas de uso e uma quantidade preocupante de informações relacionadas a bebês em todo o mundo. Além de fotos e vídeos, o banco de dados divulgou as datas de nascimento dos recém-nascidos, além de informações sobre peso e altura. Os dados do GPS também vazaram, o que permitiria que os atacantes identificassem a localização precisa das crianças.

Como os Momentos do Peekaboo acabaram nessa bagunça?

Se você ler o material de marketing na página do Google Play do Peekaboo Moments, ficará com a impressão de que a Bithouse, Inc., desenvolvedora do aplicativo, está totalmente ciente de quão importante é manter os dados dos usuários privados. Os fatos, no entanto, sugerem o contrário.

As informações vazadas foram colocadas em um servidor Elasticsearch desprotegido, acessível a qualquer pessoa com navegador e conexão à Internet. Bithouse está longe de ser a única empresa que cometeu esse erro, mas o fato de haver muitos outros infratores não pode realmente servir como um fator de mitigação da culpa, especialmente quando você sabe que a segurança dos bebês está nos cartões. Segundo Dan Ehrlich, o banco de dados mal configurado é apenas a ponta do iceberg.

Ele disse ao Information Security Media Group que "tudo" no aplicativo é "bizarramente feito e grosseiramente inseguro". Ehrlich não entrou em muitos detalhes, mas temos certeza de que pelo menos algumas de suas críticas têm algo a ver com o fato de que, por padrão, o site oficial do Peekaboo Moments (completo com um formulário de login na página inicial) é carregado em HTTP em vez de HTTPS.

Falando no site do aplicativo, você encontrará um anúncio sobre o vazamento de dados escrito por Jason Liu, CEO da Peekaboo Moments. Segundo o comunicado, o vazamento foi causado por um servidor de log mal configurado que continha "uma porção muito pequena" dos dados dos usuários. Liu pediu desculpas pela violação, prometeu que sua empresa tentará melhorar a partir de agora e tentou convencer a todos que, além de Ehrlich e Kirk, nenhuma pessoa externa acessou o banco de dados. Aparentemente, os links para fotos e vídeos das crianças não estão mais ativos porque o Bithouse garantiu o vazamento do banco de dados "logo" depois de receber o primeiro relatório.

A versão dos eventos de Jeremy Kirk é um pouco diferente. O relatório do Information Security Media Group diz que várias tentativas de entrar em contato com Jason Liu e sua empresa foram infrutíferas. De acordo com Kirk, não foi até várias horas depois que a história saiu que Bithouse retornou um e-mail para dizer que o servidor está seguro.

Seja qual for o caso, o vazamento de dados do Peekaboo Moments pode servir como prova de que os incidentes de segurança cibernética podem afetar até os membros mais inocentes e vulneráveis da nossa sociedade. Essa violação em particular provavelmente deve ser lembrada na próxima vez em que você se perguntar qual aplicativo deve usar para compartilhar fotos de seu filho.

Por Duran
January 22, 2020
News
Portuguese
January 22, 2020
News

Postagens Populares

Microsoft alerta que atores de ameaças apoiados pelo Estado...

4 days atrás

Detecção de Malware Trojan Al11

11 months atrás

Pinaview é um aplicativo de adware completo

10 months atrás

Pop-ups "Seu iCloud está sendo invadido" e "Seu iPhone foi...

7 months atrás

O que é Lucky Ransomware?

7 months atrás

Golpe de e-mail 'American Express - Atualize as informações da...

6 months atrás
Portuguese
Carregando…

Detalhes e Termos de Backup do Cyclonis

O plano Básico do Backup Gratuito do Cyclonis oferece 2 GB de espaço de armazenamento na nuvem com funcionalidade total! Não é necessário cartão de crédito. Precisa de mais espaço de armazenamento? Compre um plano maior do Backup do Cyclonios agora! Para saber mais sobre nossas políticas e preços, consulte os Termos de Serviço, Política de Privacidade, os Termos de Desconto e a Página de Compra. Se você deseja desinstalar o aplicativo, visite a página Instruções de Desinstalação.

Detalhes e Termos do Gerenciador de Senhas do Cyclonis

Teste GRATUITO: Oferta Única de 30 Dias! Nenhum cartão de crédito será necessário para o teste gratuito. Funcionalidade completa durante o período de avaliação gratuita. (A funcionalidade completa após a Avaliação Gratuita requer a compra deaassinatura.) Para saber mais sobre nossas políticas e preços, consulte o CLUF, a Política de Privacidade, os Termos de Desconto e a Página de Compra. Se você deseja desinstalar o aplicativo, visite a página Instruções de Desinstalação.

Página Inicial

Produtos

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Suporte

Arquivos de Ajuda PFs Downloads Perguntas e Suporte

Empresa

Sobre Nos Contate-Nos Denuncie Abuso

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Política de Privacidade Política dos Cookies Special Discount Offer Terms Additional Terms & Conditions CLUF do SpyHunter CLUF do RegHunter Política de Privacidade e Política de Cookies do EnigmaSoft Política de Privacidade e Política de Cookies do ESG Termos da Oferta de Desconto do EnigmaSoft Termos da Oferta de Desconto do ESG

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows é uma marca comercial da Microsoft, registrada nos Estados Unidos e em outros países.
Mac, iPhone, iPad e App Store são marcas comerciais da Apple Inc., registradas nos Estados Unidos e em outros países.
iOS é uma marca registrada da Cisco Systems, Inc. e/ou de suas afiliadas nos Estados Unidos e em alguns outros países.
Android e Google Play são marcas comerciais da Google LLC.