CAM4: vazamento expõe dados e conversas de usuários do Brasil e de outros países


Um grande vazamento de dados expôs informações pessoais e privadas de dezenas de milhares de usuários do CAM4, um dos principais sites adultos do mundo. No total, são 10,8 bilhões de registros, incluindo informações que podem identificar usuários diretamente e históricos de transações e conversas entre eles e produtores de conteúdo. O Brasil é o segundo país mais afetado.

O nível do vazamento difere para cada usuário, de acordo com o perfil da plataforma, contendo mais ou menos dados sobre eles. Entre as informações pessoalmente identificáveis que os especialistas encontraram no servidor estão nomes completos, endereços de e-mail, nomes de usuários, país de origem, detalhes do dispositivo usado para acesso, IPs e idioma falado, bem como orientação e preferências sexuais. Hashes de senhas também aparecem no servidor, mas as credenciais em si não vazaram.

Além disso, detalhes da utilização do serviço também podiam ser acessados na infraestrutura aberta, revelando históricos de pagamentos, moeda utilizada para compra de tokens que podem ser dados como gorjeta durante as transmissões, registros de chats e histórico de e-mails e de conversas privadas entre usuários e produtores de conteúdo. Todas as informações que os usuários provavelmente gostariam de manter em sigilo e que apenas aumentam a gravidade da exposição.


Participe do GRUPO CANALTECH OFERTAS no Telegram e garanta sempre o menor preço em suas compras de produtos de tecnologia.

Exemplos de registros vazados dos servidores do CAM4 contendo e-mails, dados pessoais, históricos de comunicação e senhas em formato hash (Imagem: Reprodução/Safety Detectives)

De acordo com a Safety Detectives, como os registros não estavam organizados, é impossível saber exatamente quantos usuários foram atingidos pela exposição dos dados. Por outro lado, de acordo com o time de especialistas liderado por Anurag Sen, dá para indicar o número de entradas pertencentes a utilizadores de cada país, com os EUA aparecendo na primeira colocação, com 6,55 milhões. Em segundo está o Brasil, com 5,37 milhões, seguido pela Itália (4,85 milhões), França (4,15 milhões) e Alemanha (3,06 milhões).

Os especialistas também dizem não saber diferenciar exatamente quais dados pertencem a usuários ou produtores de conteúdo, em sua maioria amadores, mas afirma que os streamers da plataforma também podem ter sido comprometidos. As contas do CAM4 são globais e permitem tanto a publicação de vídeos e transmissões ao vivo quanto a interação com outros shows em andamento, enquanto os registros de e-mail e chat podem indicar os valores enviados pelos utilizadores aos criadores durante as lives.

Lista de países mais afetados pelo vazamento de dados reflete a relação de regiões onde o CAM4 é mais utilizado, indicando a existência de uma exposição global, e não segmentada (Imagem: Reprodução/Safety Detectives)

Em contato com o Canaltech, a Safety Detectives informou que o servidor vulnerável, hospedado na Holanda por uma empresa terceirizada, foi fechado pouco depois de os responsáveis pelo CAM4 terem sido informados sobre a falha. O serviço pertence a uma empresa americana chamada Surecom Corporation, enquanto os dados estavam presentes em uma infraestrutura terceirizada. Os especialistas, porém, não souberam informar se houve acesso ao volume por terceiros ou se as informações foram baixadas ou replicadas em outros lugares.

A reportagem também tentou contato com o CAM4, mas não havia recebido contato até a publicação. A Safety Detectives também relata comportamento semelhante, afirmando ter recebido uma resposta rápida à revelação inicial da vulnerabilidade, mas nenhum retorno depois disso.

Golpes, fraudes e extorsão

Especialistas da Safety Detectives chamam a atenção para tentativas de fraude e extorsão contra os usuários do CAM4 cujos dados foram comprometidos (Imagem: Gemalto)

Aos milhões de usuários do CAM4 que possam acabar atingidos pelo vazamento de dados, a cautela é a melhor recomendação. O principal risco, de acordo com os especialistas, são os crimes de roubo de identidade, golpes bancários e phishing, além de chantagens que envolvam as informações pessoais que estavam disponíveis no volume.

O primeiro passo é trocar senhas e ativar a autenticação em duas etapas em serviços de e-mail e redes sociais, cujos endereços e nomes de usuário podem ter vazado a partir dos servidores do CAM4. Como muitas destas contas reúnem serviços de armazenamento e comunicação direta, além de eventuais registros financeiros, essa etapa é essencial para evitar que mais dados sejam comprometidos.

Além disso, a Safety Detectives chama a atenção para possíveis tentativas de extorsão contra os usuários, com bandidos ameaçando entregar as informações privadas obtidas pelo vazamento a familiares, amigos, cônjuges e colegas de trabalho. As informações bancárias disponíveis não permitem fraudes diretas, mas podem ser usadas em e-mails de phishing que tentam obter dados de cartão de crédito ou exigem pagamentos, que são direcionados a contas sob o controle dos criminosos.

Por fim, os usuários podem se ver vítimas de campanhas massificadas de e-mails fraudulentos, contendo malwares para roubo de dados ou ransomwares que sequestram informações e impedem o uso de um dispositivo até o pagamento. O ideal é manter o olho vivo quanto a tentativas dessa categoria e não clicar em links que cheguem por correio eletrônico ou redes sociais, além de evitar o download de aplicativos a partir destes meios.

Leia a matéria no Canaltech.


Fonte Felipe Demartini
Data da Publicação Original: 4 May 2020 | 2:00 pm


You may also like

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *