Brasileiros estão entre as mais de seis mil pessoas atingidas pelo vazamento de um banco de dados que pertenceria a diferentes sites adultos da rede PussyCash. Isso inclui direito a marcas próprias e programas de afiliação voltados para essa indústria, envolvendo ainda parcerias com sites como ImLive, Xtube e Pornhub, entre dezenas de outros. As informações sensíveis foram encontradas pela vpnMentor, empresa especializada em segurança da informação, em um volume que continha mais de 875 mil registros e 19,9 GB de informação.
A descoberta foi feita pelos pesquisadores Noam Rotem e Ran Locar, que pintam um panorama perigoso. O volume, que estava disponível de maneira desprotegida na nuvem da Amazon, é extremamente sensível e incluem documentos de identificação, certidões de nascimento, passaporte, e-mails, números de celular, fotos, dados biométricos e até contatos de familiares e informações de imigração ou cidadania para modelos que residem em países estrangeiros.
O caso apenas se torna pior quando levamos em conta se tratar da indústria de entretenimento adulto, cujos profissionais, normalmente, prezam pelo sigilo de suas identidades. O vazamento contém, por exemplo, cópias de contratos assinados entre modelos e serviços de streaming ou compartilhamento de conteúdo, bem como fotos de comprovação delas segurando passaportes ou documentos de identidade. Endereços completos, profissões, dados de familiares, informações bancárias e dados de cartões de crédito também foram encontrados no volume vazado.
Entre as cópias de documentos estão RGs e passaportes nacionais, mas o número de brasileiros atingidos pelo vazamento não foi informado pela vpnMentor. De acordo com os especialistas, o banco de dados não foi investigado a fundo, nem suas informações foram copiadas, como forma de preservar o sigilo dos afetados. No total, cidadãos de 27 países foram comprometidos pela brecha, em uma lista que inclui China, Grã Bretanha, Estados Unidos, Rússia, Austrália, Argentina, Peru e Canadá, entre outros.
De acordo com os achados da vpnMentor, que foram compartilhados com o Canaltech antes da publicação do relatório sobre o vazamento, o banco de dados aparecia organizado em pastas compactadas, sendo uma por modelo, aparentemente. No interior de cada uma delas estão não apenas os contratos, documentos e informações sensíveis, como também amostras do conteúdo produzido pelas vítimas da brecha, com fotos e vídeos íntimos, bem como cópias de chats de texto e capturas de tela.
Outras informações pessoais também revelam os bastidores do funcionamento dos sites e redes de afiliados da PussyCash. Os documentos incluem, por exemplo, autorizações para uso de imagem e diagramas que indicam o posicionamento e o caráter de tatuagens e piercings, bem como detalhes pessoais preenchidos a mão, com direito a preferências sexuais, fantasias, hobbies e passatempos preferidos, informações supostamente usadas no preenchimento de perfis nos sites de venda de conteúdo.
O banco de dados foi localizado em 3 de janeiro, com a PussyCash e o ImLive, um dos principais sites mencionados no documento, sendo avisados no dia seguinte. A Amazon também foi notificada, na última terça-feira (07), com a brecha sendo solucionada na quinta (09).
Em comunicado enviado ao Canaltech, a PussyCash afirmou ter tomado medidas rápidas para remover o acesso público ao banco de dados assim que foi informada pela vpnMentor sobre a brecha de segurança. A empresa afirma que os pesquisadores responsáveis pelo relatório foram os únicos a acessarem as informações e que não houve vazamento de informações nem utilização delas por indivíduos maliciosos.
De acordo com a empresa, ainda, o conteúdo disponível no volume desprotegido datava de 2013 e consistia apenas de imagens e vídeos produzidos por profissionais, adquiridos pela PussyCash para utilização em campanhas de marketing e divulgação de seus serviços, sites e programas de afiliação. A empresa nega que dados pessoais e informações privadas dos modelos ou usuários da plataforma estavam presentes no vazamento.
A PussyCash afirma ainda que a privacidade de seus usuários é uma das principais prioridades e que os departamentos técnicos foram informados sobre o problema e os protocolos de proteção de dados e controle de acesso. A companhia informa, ainda, que todos os profissionais cujos conteúdos foram expostos têm mais de 18 anos de idade.
Consequências reais
O vazamento foi considerado pela vpnMentor como extremamente grave, por não apenas tornar os atingidos suscetíveis a fraudes, mas também por expor diretamente cada um deles, de forma pessoal. Um dos principais perigos é o vazamento de imagens íntimas, bem como tentativas de chantagem e extorsão, com cibercriminosos ameaçando entregar as informações sobre os trabalhos das vítimas na indústria adulta a cônjuges, familiares e empregadores.
Como muitos dos registros têm mais de uma década de existência, eles podem pertencer a ex-profissionais da indústria adulta, que podem não desejar a exposição de conteúdos antigos. O mesmo, claro, também vale para aqueles que estão na ativa e prezam pelo anonimato, com o vazamento dos dados colocando a perder, inclusive, contratos que levavam isso em consideração.
Os especialistas apontam ainda para a presença de indivíduos da comunidade LGBTQ no volume vazado, incluindo pessoas que residem em países nos quais a homossexualidade é criminalizada. Novamente, as consequências para tais vítimas podem ser reais e violentas, indo além dos problemas usuais de uma brecha dessa categoria.
No campo virtual, usando as informações vazadas, criminosos poderiam facilmente assumir a identidade das vítimas para realizar fraudes e golpes. Ataques direcionados e tentativas de phishing podem acontecer por e-mail, celular e outros meios, enquanto todo o volume pode aparecer à venda na dark web, já que constitui uma mina de ouro para os adeptos desse tipo de prática.
A recomendação dos especialistas é que os membros das redes e sites que pertencem à PussyCash procurem a empresa em busca de mais informações sobre o vazamento, além de garantir a proteção individual contra ataques ou possíveis exposições. Ainda, valem as recomendações de sempre quanto aos crimes virtuais, como prestar atenção em transações suspeitas nos cartões de crédito e e-mails fraudulentos, enviados por indivíduos maliciosos que tentam se passar por empresas ou serviços.
Fonte: CanalTech
15 de janeiro de 2020
