2019/11/04

Rede de camgirls expõe dados de milhões de clientes


Uma rede espanhola de sites de "camgirls" deixou a sua base de dados exposta ao mundo, fazendo com que dados de milhões de clientes, assim como dos seus "artistas", ficassem disponíveis para todos.

A VTS Media é uma empresa espanhola que mantém uma série de sites de camgirls, principalmente direccionados para o público europeu. Mas, por completo desconhecimento ou descuido, deixou as suas bases de dados e registos (logs) acessíveis ao público, permitindo ficar com informação bastante detalhada sobre tudo. Temos o registo dos clientes, emails, mensagens que trocavam com os/as artistas, endereços IP, tipos de vídeo ou categorias sexuais favoritas, e - como se tudo isso não fosse suficiente - também temos os usernames e passwords em plaintext, incluindo tentativas de login falhadas (sempre bom para apanhar passwords que possam ser de outros serviços do mesmo utilizador).


Com tudo isto, estão acessíveis todos os ingredientes para mega-campanhas de chantagem, para o caso de clientes que tenham actividades particularmente "sensíveis", que tenham trocado mensagens privadas potencialmente embaraçosas, ou que demonstrem padrões de utilização que possam ser particularmente problemáticos (por exemplo, imagine-se uma figura pública que se venha a descobrir que passa todas as suas noites a pagar por sessões privadas com camgirls).

O incidente acaba por demonstrar na prática aquilo que se temia que acontecesse com o - entretanto cancelado - sistema de verificação nacional para acesso a sites para adultos no Reino Unido. Mas, pode acabar por se revelar também um dos primeiros testes a sério ao RGPD / GDPR, já que a empresa estava a guardar dados dos clientes que eles desconheciam. Ainda para mais, as preferências sexuais de utilizadores cai nas "categorias especiais", que obriga a ainda maior protecção dos dados.

Parece-me que a VTS Media vai descobrir que teria sido bem mais vantajoso investir 4% da sua receita anual na segurança dos dados, do que arriscar-se a pagar (até) esse valor em multas do GDPR. (No caso do juiz do caso ser um dos clientes com os dados expostos, podemos assumir que a multa irá logo para o valor máximo! :)

Sem comentários:

Enviar um comentário (problemas a comentar?)