O site brasileiro de acompanhantes Fatal Model pode ter exposto mais de 18 milhões de dados, incluindo nomes, e-mails, telefones, detalhes de contas e informações sobre dispositivos tanto das acompanhantes quanto dos clientes. Os bancos de dados que podem ter sido expostos têm tamanho de quase 720 GB.
As informações acerca do vazamento foram divulgadas hoje (23) por Jeremiah Fowler, pesquisador de cibersegurança e cofundador da empresa Security Discovery. O especialista revelou os detalhes do caso para o Website Planet.
De acordo com Fowler, os registros estavam em um banco de dados em nuvem que não tinha proteções. Depois de inspecionar, ele disse ter encontrado chaves de acesso e informações de armazenamento da conta do servidor da Amazon Web Services (AWS) do Fatal Model.
Uma das etapas do cadastro do Fatal Model é a Verificação de Documentos, mas você sabe para que serve e por que foi implementada?
— Fatal Model (@FatalModel) August 15, 2023
Nossa influencer Fabi Simpatia conta tudinho sobre essa etapa! pic.twitter.com/iYHwnwkPqf
Por ser um white hat (hacker ético), ele disse que nunca contornou sistemas protegidos com senhas, o que não era o caso dos servidores do site de acompanhantes. O pesquisador disse ter encontrado também informações como códigos-fontes.
Ao Website Planet, Fowler contou que o banco de dados de registro foi fechado para acesso no mesmo dia em que ele descobriu a brecha. Já o banco de dados da AWS permaneceu aberto até o momento em que ele avisou os responsáveis pela plataforma.
Segundo ele, a equipe do Fatal Model explicou que o bucket (container de arquivos e metadados destes arquivos) tinha dados disponíveis publicamente.
Provas da possível exposição
Jeremiah Fowler listou que o banco de dados de registro continha 14,6 milhões de registros e tamanho de 19,17 GB, enquanto a nuvem de armazenamento na AWS continha mais de 3,5 milhões de arquivos e tamanho de 700 GB.
No servidor em nuvem havia, por exemplo, uma pasta chamada “2022” onde estavam 35,4 mil contas de acompanhantes com imagens e vídeos de verificação das profissionais. Em outra pasta nomeada “2023” havia mais de 33 mil contas de acompanhantes também com registros audiovisuais.
O pesquisador em cibersegurança ainda informou que o banco de dados tinha arquivos de aplicativos, de instalação, tokens de acessos administrativos e informações sobre dispositivos dos usuários do Fatal Model. O hacker white hat compartilhou capturas de telas que mostram os acessos, confira abaixo:
)
)
)
)
Alerta
Fowler argumentou que a suposta exposição é perigosa, já que cibercriminosos poderiam capturar os dados e chantagear tanto clientes quanto acompanhantes. Apesar de a prostituição não ser crime no Brasil, agentes maliciosos poderiam extorquir as vítimas e pedir dinheiro em troca de não divulgar as informações pessoais online, por exemplo.
Ele explicou que os arquivos possivelmente expostos são perigosos, já que poderia ser possível extrair dados de clientes em arquivos JavaScript (.js) ou ainda injetar códigos maliciosos em arquivos de desenvolvimento, o que permitiria a propagação de malwares e vírus.
As brechas no Fatal Model poderiam colocar expor os arquivos a malwares e vírus (Imagem: solarseven/Getty Images)
Por último, o especialista deixou claro que apesar das brechas, não há como assumir que algum agente malicioso acessou os registros anteriormente, já que somente uma auditoria poderia chegar a esta conclusão. Ele esclareceu ainda que as descobertas não inferem qualquer má conduta intencional ou negligência do Fatal Model.
“Também não insinuamos nenhuma irregularidade por parte da Fatal Model e apenas publicamos nossas descobertas para aumentar a conscientização e promover as melhores práticas de segurança cibernética”, ressaltou.
Outro lado
Em nota enviada ao TecMundo, o Fatal Model negou de forma veemente que dados sigilosos de usuários e anunciantes do site tenham sido vazados. De acordo com a plataforma, o servidor identificado por Jeremiah Fowler é o “local em que a plataforma salva todas as fotos publicadas pelos anunciantes, ou seja, todas as imagens que já estão disponibilizadas de forma pública”.
Por isso, de acordo com o site de acompanhantes, os dados mencionados pelo especialista já são públicos por iniciativa dos próprios anunciantes que usam a plataforma para divulgar seu trabalho. Por causa disso, não há “como haver vazamento de dados que se deseja e concede que sejam públicos”.
“A suposta descoberta sobre um amplo vazamento de informações pessoais não procede, em nenhuma hipótese. Para garantir que a acusação não passava de mera especulação, o Fatal Model contratou durante o fim de semana dois dos maiores especialistas em dark web no Brasil para verificar de forma minuciosa se algum dado sigiloso foi tornado público. O resultado da investigação: nenhum usuário ou acompanhante foi impactado pelo suposto vazamento”, informou a plataforma.
O comunicado do Fatal Model ainda defende que o site é pioneiro em medidas de segurança para combate a perfis fraudulentos, como a mídia de comparação e autenticação facial por meio de ferramentas como o Facetec, que é utilizado por bancos.
A empresa ainda informou ter acionado o departamento jurídico para “apurar os danos de imagem oriundos desta infundada acusação”.
*Matéria atualizada em 23/08/2023, às 22:37, com a nota do Fatal Model.
Fontes
Categorias
