Um dos maiores incidentes de vazamento de dados da história foi divulgado recentemente, afetando diretamente as empresas Mars Hydro e LG-LED Solutions. O evento expôs 2,7 bilhões de registros confidenciais, totalizando aproximadamente 1,17 terabytes de informações que estavam armazenadas em um banco de dados público e desprotegido na internet.
A descoberta foi realizada pelo pesquisador de cibersegurança Jeremiah Fowler, que reportou suas conclusões à equipe do vpnMentor. Os dados expostos incluem uma variedade de informações sensíveis, como nomes de redes Wi-Fi, senhas, endereços IP, identificadores de dispositivos e informações de APIs, todos armazenados em texto puro, sem qualquer forma de criptografia.
A seriedade desse vazamento é acentuada não apenas pela quantidade de dados, mas pela natureza crítica das informações reveladas. Com o acesso a esses registros, cibercriminosos poderiam, potencialmente, comprometer redes domésticas e empresariais, sequestrar dispositivos IoT para ataques de botnet, ou até mesmo controlar remotamente equipamentos conectados, como luzes, ventiladores e sistemas de climatização.
Dados Sensíveis Expostos
De acordo com Fowler, o vazamento ocorreu devido à falta de proteção em bancos de dados MongoDB, que foram deixados sem senhas. "Encontramos 13 pastas que continham mais de 100 milhões de registros cada, incluindo SSIDs de redes Wi-Fi, senhas em texto puro, endereços IP, números de identificação de dispositivos e muito mais", revelou o pesquisador.
Os dados coletados incluem:
- Nomes de redes Wi-Fi (SSIDs) e senhas
- Endereços IP de dispositivos e usuários
- Identificadores únicos de dispositivos IoT
- Detalhes de sistemas operacionais (iOS/Android)
- Tokens de APIs e versões de aplicativos
- Logs de erros contendo informações sensíveis
"Com essas credenciais expostas, um atacante poderia potencialmente se conectar à rede Wi-Fi e comprometer outros dispositivos ou tentar um ataque de 'vizinho mais próximo' (KNN)", alertou Fowler. Esse tipo de ataque permite que hackers explorem redes próximas geograficamente para atingir alvos específicos, como demonstrado em um incidente recente envolvendo hackers russos.
Preocupações com a Segurança dos Dispositivos IoT
A investigação revelou que os dados eram coletados pelo aplicativo Mars Pro, utilizado para controlar luzes de cultivo e sistemas de climatização IoT da Mars Hydro. Curiosamente, a política de privacidade do aplicativo afirma que nenhum dado do usuário é armazenado — uma afirmação que claramente contrasta com os fatos revelados pelo vazamento.
"Não está claro como os registros de logs contêm detalhes de conectividade e credenciais. Uma possibilidade é que esses dados sejam capturados e registrados pelos dispositivos IoT uma vez que estão conectados à rede local do usuário", explicou Fowler. "Independentemente de como essa informação foi obtida, isso levanta preocupações potenciais sobre a segurança dos dispositivos IoT e a privacidade da rede."
Esse caso ilustra um problema já conhecido na área de cibersegurança, destacando a fragilidade da proteção de dados em dispositivos conectados e a necessidade urgente de medidas de segurança mais robustas para proteger informações sensíveis.
