Serviço de acompanhantes teria dados pessoais expostos na internet
O Fatal Model, um dos principais serviços brasileiros de acompanhantes, pode ter exposto dados pessoais na internet. Informações como endereços de e-mail, números de telefone, detalhes de contas e informações de dispositivos usados no acesso à plataforma apareceriam juntamente com registros internos da própria companhia em dois servidores abertos, sem proteção por senhas ou verificação de acesso.
De acordo com o pesquisador em segurança digital Jeremiah Fowler, do Website Planet, um dos volumes contaria com mais de 14,6 milhões de entradas, com um tamanho total de 19,1 GB. Em meio aos dados de perfis citados, também teriam sido encontradas informações de uma segunda conta de armazenamento, com 700 GB e 3,5 milhões de arquivos relacionados às operações internas do Fatal Model.
De acordo com o relatório publicado pelo especialista, esta segunda infraestrutura estaria hospedada no serviço AWS e traria dados de aplicação e desenvolvimento da plataforma, assim como tokens de acesso e registros de dispositivos. Mais de 68 mil imagens e vídeos de verificação de acompanhantes que anunciam no Fatal Model também estariam concentrados no volume, com datas entre 2022 e 2023.
Não é possível precisar o número exato de pessoas atingidas pela exposição apontada pelo Website Planet, que no total reuniria mais de 18 milhões de registros de diferentes categorias. O relatório do especialista aponta para a presença de informações de acompanhantes e também usuários da plataforma, enquanto a Fatal Model apontou que apenas dados públicos estariam disponíveis nos servidores desprotegidos.
Em comunicado enviado ao Canaltech, a empresa afirmou que informações como números de telefone, assim como imagens e vídeos de verificação, são divulgados publicamente na plataforma como parte dos anúncios de acompanhantes. De acordo com a Fatal Model, não há nenhuma evidência de exposição de dados sensíveis ou vazamento de informações confidenciais.
Ainda falando oficialmente sobre o assunto, o serviço disse que os servidores listados pelo especialista correspondem a infraestruturas de teste, que também armazenam dados ou informações usadas em tarefas de desenvolvimento da plataforma. Após a descoberta da abertura, camadas adicionais de segurança foram adicionadas para impedir ataques que visassem sua indisponibilidade, por exemplo.
Como um dos maiores sites de acompanhantes do Brasil, o Fatal Model disse ainda investir em medidas de segurança e iniciativas que melhorem a confiabilidade dos serviços, que seriam alvo de milhões de tentativas de ataques cibercriminosos todos os meses. A empresa apontou ainda que tais critérios também se aplicam à verificação de usuários e anunciantes, como forma de combater perfis fraudulentos.
Exposição de dados pode levar a golpes
Ao reportar o caso, Fowler aponta o risco de fraudes e campanhas de assédio contra os usuários eventualmente listados em uma exposição desse tipo. Além disso, há o risco de raspagem de dados, com as informações, mesmo públicas, podendo ser catalogadas a partir da infraestrutura desprotegida para o lançamento de campanhas de phishing contra usuários, acompanhantes e outros envolvidos na operação do Fatal Model.
O especialista ainda chama a atenção para os comprometimentos combinados. “Uma exposição de dados pode levar à identificação de outras vulnerabilidades em demais áreas da rede da companhia”, afirma no relatório, apontando, por exemplo, a presença de informações na primeira infraestrutura desprotegida que levou à descoberta da segunda, onde estavam as informações internas.
Aos usuários e também trabalhadores expostos, a recomendação é de atenção aos contatos que cheguem em nome da Fatal Model ou outras empresas similares. O ideal é evitar clicar em links ou responder a solicitações, buscando sempre meios de atendimento oficiais caso desconfiem que uma solicitação é verdadeira mas não tenham certeza quanto à origem da comunicação.
Medidas básicas de higiene digital, como o uso de senhas seguras e autenticação em duas etapas, também ajudam a proteger contas e serviços online de vazamentos de dados, principalmente aqueles que, ao contrário do relatado aqui, também contam com credenciais e outras informações de acesso. Por fim, vale a pena manter smartphone e computador atualizados, bem como usar antivírus e outros softwares de segurança que ajudam a detectar spam e sites fraudulentos.
O que diz o Fatal Model?
Não localizamos e-mails vindos de j@securitydiscovery.com anteriores ao dia 21/08/2023. Confirmamos o recebimento do e-mail do dia 21/08/2023 às 8h25 (horário de Brasília), via juridico@fatalmodel.com, relatando o risco de exposição de dados. O report enviado por Jeremiah é compatível com o acesso a dois servidores que armazenam apenas dados de debug, dados públicos e mídias públicas, como dados de teste, informações, imagens ou números de telefone que já são disponíveis amplamente no site Fatal Model para todos os visitantes.
No Fatal Model, as mídias de comparação, os números de telefone e outras informações são dados que já estão públicos na plataforma, ou seja, não são sensíveis e nem sigilosos, já que os anunciantes colocam essas informações publicamente nos anúncios para que possam ser contatados pelos contratantes. Não há nenhuma evidência de exposição de dados sensíveis e, muito menos, de vazamento destes.
A plataforma possui um compromisso sério com o combate aos perfis falsos e usuários mal intencionados. Por isso, o Fatal Model conta com mais de 300 colaboradores, dedicados em elaborar medidas de segurança e melhorias que elevam o nível de confiabilidade do site, tornando-o um ambiente cada vez mais seguro para todos os usuários.
Criado em 2016, hoje, o Fatal Model é o 27º site mais acessado do Brasil (Fonte: SimilarWeb) com cerca de 20 milhões de usuários por mês, ou seja, aproximadamente 10% da população do país. Os servidores do Fatal Model recebem mais de 5 milhões de tentativas de ataque hacker por mês.
A plataforma informa que utiliza, como primeira medida de segurança de nível global, o serviço de WAF (Firewall do aplicativo Web), que detecta e mitiga solicitações maliciosas em todas as requisições, fornecido pela Cloudflare. A Cloudflare atua em segurança de rede bloqueando 100 milhões de ameaças diariamente (Fonte: cloudflare.com).
A equipe de segurança do Fatal Model, mesmo sem ter recebido os e-mails reportados, verificou há aproximadamente 20 dias que esses servidores de debug estavam com acesso público facilitado e optou por adicionar camadas de segurança, visando evitar ataques que pudessem deixar este servidor indisponível, por exemplo. Já o servidor com fotos e vídeos públicos segue com acesso público devido à finalidade do conteúdo hospedado neste.
O Fatal Model é pioneiro em medidas de segurança para combate a perfis fraudulentos, como a mídia de comparação e autenticação facial – esta com a ferramenta Facetec – utilizada amplamente em aplicativos de grandes bancos digitais.
Além disso, a plataforma conta com:
- Avaliação do nível de confiabilidade de cada anúncio
- Combate a anúncios fakes
- Sistema de denúncias
O Fatal Model agradece o report recebido por Jeremiah Fowler e acredita que ações promovidas pela Security Discovery contribuem ativamente para a segurança online de toda a internet. O Fatal Model permanece à disposição para quaisquer esclarecimentos.
Fonte: Website Planet