Exclusivo: 24 mil dados pessoais de usuários do Zoox Wi-Fi são expostos online
Bases de dados expostas na nuvem da Amazon revelam nome completo, idade, CPF e número de celular de usuários do Zoox Wi-Fi
Bases de dados expostas na nuvem da Amazon revelam nome completo, idade, CPF e número de celular de usuários do Zoox Wi-Fi
Duas bases de dados estão expostas na internet com informações pessoais de usuários do Zoox Wi-Fi, como revela o pesquisador de segurança Avishai Efrat com exclusividade ao Tecnoblog: é possível encontrar nome completo, idade, CPF, número de celular, entre outros. A empresa fornece serviços de hotspot para lojas, hotéis e aeroportos; ela garante que “não foi constatada nenhuma violação da segurança da sua plataforma”.
Efrat, especialista em cibersegurança na Wizcase, explica ao Tecnoblog que um dos bancos de dados contém 6 mil registros com nome completo, endereço de e-mail, idade, sexo e CPF; trata-se de um backup que parece ter sido feito em julho de 2019. O logotipo da Zoox está entre os arquivos.
Por sua vez, a outra base de dados possui 18 mil registros com nome (completo ou parcial), e-mail, idade, sexo e informações sobre a rede Wi-Fi (IPs internos e endereços MAC). Ela parece ser um backup realizado em 2017 e, neste caso, lista somente usuários do aeroporto internacional Tom Jobim (RIOgaleão), no Rio de Janeiro. O logotipo da Zoox também foi encontrado aqui.
Os dois conjuntos de dados estão em buckets mal configurados do Amazon S3, serviço de armazenamento na nuvem. Buckets são contêineres para objetos, isto é, para arquivos e seus metadados opcionais; “é possível controlar o acesso a cada bucket, decidindo quem pode criar, excluir e listar objetos nele”, explica a Amazon.
Um dos buckets permite ver a lista de arquivos e o conteúdo de cada um deles sem precisar de login. O outro bucket está com as permissões de listagem configuradas corretamente, ou seja, exige login para mostrar a lista de arquivos; no entanto, os arquivos em si podem ser acessados por usuários anônimos.
Efrat entrou em contato com a Zoox por e-mail em 15 e 19 de junho, mas não obteve resposta. Por isso, ele acionou a Amazon no dia 20; ela afirma ter notificado o cliente para possível mitigação do problema. O pesquisador também recorreu ao CERT.br (Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil).
Como lembra Efrat, dados pessoais expostos na internet “podem ajudar invasores a realizar atividades fraudulentas e tentar realizar falsidade ideológica”. Essas informações também podem ser usadas em golpes de phishing por e-mail, servindo como isca para incentivar cliques e download de software malicioso.
Em comunicado ao Tecnoblog, a Zoox “garante que não foi constatada nenhuma violação da segurança da sua plataforma”, e diz que nunca esteve envolvida em qualquer problema referente à exposição ou ao vazamento de dados. “De qualquer forma, a empresa já está fazendo uma nova revisão dos processos de segurança.”
Além disso, o comunicado alega que a Zoox não foi procurada por nenhum especialista em segurança apresentando essa situação pelos contatos destacados em seu site oficial.
O Zoox Wi-Fi oferece acesso grátis à internet em estabelecimentos comerciais, e reúne dados de cada usuário para descobrir suas preferências e enviar campanhas publicitárias. Um dos recursos da plataforma é o Person Finder, que permite encontrar perfis a partir de nome, idade, e-mail, CEP e interesses pessoais.
“Colete dados dos usuários do seu Wi-Fi e visualize-os em uma plataforma simples e intuitiva”, diz a empresa no site oficial. “Esses dados podem ser utilizados para a criação de campanhas específicas, como pesquisas de satisfação, e-mail marketing, ofertas, comunicados e feedbacks.”
Segundo a Zoox Smart Data, o serviço de Wi-Fi tem mais de 20 mil pontos de conexão ativos e mais de mil clientes em seis países.
“O Zoox Wifi e as demais soluções da Zoox só captam dados consentidos livremente pelo usuário, e que vão compor uma base de informações fechada, segura e regulamentada, das quais os clientes que contratam a plataforma têm acesso”, diz a empresa ao Tecnoblog.
Ela também afirma que “tem entre seus principais preceitos éticos o desenvolvimento de produtos e soluções tecnológicas alinhados com as melhores práticas e mais recentes políticas nacionais e internacionais de proteção de dados – GDPR, LGPD e CCPA – California Consumer Privacy Act”.
Você tem uma sugestão ou denúncia? Envie para a gente via contato@tecnoblog.net; também recebemos dicas através do e-mail tecnoblog@protonmail.com para maior segurança.
Leia | O que é doxxing?