Hello Gym revela breach e expõe 1,6 milhão de arquivos de áudio
São Paulo — InkDesign News — Um incidente de exposição de dados na Hello Gym, uma empresa de tecnologia voltada para a indústria fitness, revelou mais de 1,6 milhão de gravações de áudio de membros, deixando os clientes vulneráveis a fraudes, deepfakes e roubo de identidade.
Incidente e vulnerabilidade
Personally Identifiable Information, ou PII, que pode ser utilizado para dar origem a fraudes e ataques de engenharia social. A exploração da falha possibilitou que qualquer pessoa com conhecimento técnico acessasse as gravações sem a necessidade de autenticação.
Impacto e resposta
As audiências invasivas continham informações pessoais, como nomes e números de telefone, também descrevendo as razões para as chamadas feitas ao ginásio. O impacto foi significativo, especialmente porque a base de dados pertencia a diversas academias nos Estados Unidos e Canadá, gerenciadas em parte por um contratante terceirizado, a Hello Gym. Após a divulgação, a base de dados foi rapidamente protegida, embora não se soubesse por quanto tempo ela esteve exposta ou se houve acesso não autorizado durante esse período.
“As gravações de áudio e mensagens de voz não deveriam estar acessíveis publicamente, pois frequentemente incluem detalhes pessoais.”
(“audio recordings and voicemails should not have been publicly accessible, as they often included personal details.”)— Jeremiah Fowler, Pesquisador de Cibersegurança, Website Planet
Mitigações recomendadas
Após o incidente, é imperativo que as empresas reforcem suas práticas de segurança. Algumas recomendações incluem a implementação de autenticação adequada para qualquer sistema de armazenamento de dados sensíveis, a realização de auditorias regulares em suas bases de dados e a educação contínua dos usuários sobre os riscos de fraudes e phishing. É essencial aplicar patches de segurança regularmente e garantir que dados pessoais não sejam armazenados sem a devida proteção.
“A utilização de dados de voz pode resultar em deepfakes, que são gravações enganadoras utilizadas para sérias fraudes financeiras.”
(“voice data can be used to create deepfakes, which refer to convincing but false recordings.”)— Jeremiah Fowler, Pesquisador de Cibersegurança, Website Planet
Apesar de a base de dados ter sido imediatamente protegida, os riscos residuais incluem possíveis fraudes futuras direcionadas aos membros expostos. As empresas devem avaliar e mitigar continuamente suas vulnerabilidades para garantir a proteção de informações sensíveis.
Fonte: (Hack Read – Segurança Cibernética)
