Um dos maiores vazamentos de dados já registrados foi revelado na última semana, expondo 2,7 bilhões de registros confidenciais provenientes das empresas Mars Hydro e LG-LED Solutions. O volume de 1,17 terabytesestava armazenado em um banco de dados desprotegido e acessível publicamente na internet.
O vazamento foi descoberto pelo pesquisador de cibersegurança Jeremiah Fowler, que relatou suas descobertas à equipe do vpnMentor. Entre os dados expostos estão nomes de redes Wi-Fi, senhas, endereços IP, identificadores de dispositivos e informações de APIs – todos armazenados em texto puro, sem qualquer tipo de criptografia.
A gravidade do incidente é evidente não apenas pelo volume, mas principalmente pela natureza sensível dos dados. Com acesso a esses registros, cibercriminosos poderiam potencialmente invadir redes domésticas e corporativas, sequestrar dispositivos IoT para ataques de botnet ou até mesmo manipular remotamente equipamentos conectados como luzes, ventiladores e sistemas de climatização.
Bancos de dados estavam desprotegidos
De acordo com Fowler, o vazamento ocorreu devido a bancos de dados MongoDB que foram deixados sem qualquer proteção por senha. “Encontramos 13 pastas contendo mais de 100 milhões de registros cada, incluindo SSIDs de redes Wi-Fi, senhas em texto puro, endereços IP, números de identificação de dispositivos e muito mais”, relatou o pesquisador.
Amostra de como logs registravam o SSID, nome dos dispositivo e senha usados pelos usuários em texto simples, sem criptografia (Imagem: Reprodução/vpnMentor)
“Com essas credenciais expostas, um atacante poderia potencialmente se conectar à rede Wi-Fi e comprometer outros dispositivos ou tentar um ataque de ‘vizinho mais próximo’ (KNN)”, alertou Fowler. Esse tipo de ataque permite que hackers explorem redes próximas geograficamente para atingir alvos específicos, como demonstrado recentemente em um incidente envolvendo hackers russos.
Vulnerabilidade de dispositivos IoT
A investigação revelou que os dados eram coletados pelo aplicativo Mars Pro, utilizado para controlar luzes de cultivo e sistemas de climatização IoT da Mars Hydro. Curiosamente, a política de privacidade do app afirma que nenhum dado do usuário é armazenado — o que claramente não condiz com a realidade.
“Não está claro como os registros de logs contêm detalhes de conectividade e credenciais. Uma possibilidade é que sejam capturados e registrados pelos dispositivos IoT uma vez que estão conectados à rede local do usuário”, explicou Fowler. “Independentemente de como essa informação foi obtida, isso levanta preocupações potenciais sobre a segurança de dispositivos IoT e privacidade da rede.”
O caso exemplifica um problema já conhecido na indústria: a falta de proteção adequada em dispositivos IoT. Um estudo da Palo Alto Networks estima que 57% dos dispositivos IoT são altamente vulneráveis, com 98% transmitindo dados sem qualquer criptografia. Além disso, 83% dos dispositivos conectados executam sistemas operacionais desatualizados ou sem suporte.
Amostra do volume de dados que eram capturados e armazenados pelo app da Mars Hydro, embora políticas de privacidade apontassem para outra prática (Imagem: Reprodução/vpnMentor)
“Muitos dispositivos IoT têm capacidades de processamento limitadas, que restringem a implementação de recursos de segurança adicionais, ferramentas de criptografia ou instalação de atualizações importantes de segurança ou firmware”, alertou o pesquisador.
Vazamento afeta brasileiros?
Não há detalhes específicos sobre quantos usuários brasileiros podem ter sido afetados pelo vazamento. No entanto, considerando que a Mars Hydro comercializa seus produtos globalmente, inclusive no Brasil, é provável que dados de clientes locais estejam entre os registros expostos.
Este incidente serve como mais um alerta sobre a importância de configurar corretamente dispositivos IoT e implementar medidas de segurança adequadas. Tanto usuários quanto fabricantes precisam estar atentos aos riscos e tomar providências para proteger dados sensíveis.
Amostra exibe como arquivos eram capturados e armazenados nas pastas dos servidores da Mars Hydro (Imagem: Reprodução/vpnMentor)
Aprenda a manter seus dispositivos IoT seguros
Para reduzir os riscos de exposição de dados e invasões, siga estas 9 dicas ao configurar e utilizar dispositivos IoT:
Altere sempre as senhas padrão de fábrica por senhas fortes e únicas. Evite reutilizar senhas entre dispositivos diferentes. Use um gerenciador de senhas para criar e armazenar credenciais seguras.
Mantenha o firmware dos dispositivos sempre atualizado. Verifique regularmente se há atualizações disponíveis e aplique-as prontamente. Ative atualizações automáticas quando possível.
Segmente sua rede doméstica, isolando dispositivos IoT em uma rede separada dos seus computadores e smartphones. Isso ajuda a conter potenciais invasões.
Desative recursos desnecessários como acesso remoto ou UPnP se não forem utilizados. Quanto menos portas e serviços ativos, menor o alcance do ataque.
Utilize criptografia forte nas comunicações Wi-Fi. Prefira WPA3 ou no mínimo WPA2 com uma senha robusta. Evite o uso de WEP, que é facilmente quebrável.
Verifique as configurações de privacidade dos dispositivos e aplique as opções mais restritivas possíveis. Desative coleta de dados desnecessária.
Considere o uso de um firewall dedicado para IoT ou uma VPN para adicionar uma camada extra de proteção à sua rede doméstica.
Monitore o tráfego de rede em busca de atividades suspeitas. Há ferramentas gratuitas que podem ajudar a detectar anomalias.
Ao descartar dispositivos antigos, faça uma restauração de fábrica para apagar todos os dados. Se possível, desative permanentemente o acesso à nuvem.
Avalie esta notícia, mande seus comentários e sugestões. Encontrou alguma informação incorreta ou algum erro no texto?
Importante: ‘Todos os Conteúdos divulgados decorrem de informações provenientes das fontes aqui indicadas, jamais caberá ao Guia do CFTV qualquer responsabilidade pelo seu conteúdo, veracidade e exatidão. Tudo que é divulgado é de exclusiva responsabilidade do autor e ou fonte redatora.’
Quer enviar suas notícias? Envie um e-mail para noticias@guiadocftv.com.br
Usamos cookies em nosso site para oferecer a você a experiência mais relevante, lembrando suas preferências e visitas repetidas. Ao clicar em “Aceitar”, você concorda com o uso de TODOS os cookies.
Este site usa cookies para melhorar sua experiência enquanto você navega pelo site. Destes cookies, os cookies que são categorizados como necessários são armazenados no seu navegador, pois são essenciais para o funcionamento das funcionalidades básicas do site. Também usamos cookies de terceiros que nos ajudam a analisar e entender como você usa este site. Esses cookies serão armazenados em seu navegador apenas com o seu consentimento. Você também tem a opção de cancelar esses cookies. Porém, a desativação de alguns desses cookies pode afetar sua experiência de navegação.
Privacy Overview (English)
This website uses cookies to improve your experience while you navigate through the website. Out of these cookies, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may have an effect on your browsing experience.
Necessary cookies are absolutely essential for the website to function properly. This category only includes cookies that ensures basic functionalities and security features of the website. These cookies do not store any personal information.
Quaisquer cookies que possam não ser particularmente necessários para o funcionamento do site e sejam usados especificamente para coletar dados pessoais do usuário por meio de análises, anúncios e outros conteúdos incorporados são denominados cookies não necessários. É obrigatório obter o consentimento do usuário antes de executar esses cookies no seu site.
Any cookies that may not be particularly necessary for the website to function and is used specifically to collect user personal data via analytics, ads, other embedded contents are termed as non-necessary cookies. It is mandatory to procure user consent prior to running these cookies on your website.
GuiadoCFTV
Alguma dúvida relacionada ao Vazamento massivo expõe 2,7 bilhões de registros de dispositivos IoT?
