Na última semana, um dos mais abrangentes vazamentos de dados da história foi revelado, afetando 2,7 bilhões de registros confidenciais das empresas Mars Hydro e LG-LED Solutions. O montante de dados representa 1,17 terabytes armazenados em um banco de dados desprotegido, disponível publicamente na internet.
A descoberta foi feita pelo especialista em cibersegurança Jeremiah Fowler, que reportou suas conclusões à equipe do vpnMentor. O conjunto de dados expostos inclui informações como nomes de redes Wi-Fi, senhas, endereços IP, identificadores de dispositivos e detalhes de APIs, todos armazenados em texto simples e sem criptografia.
A seriedade do incidente é alarmante, não apenas pela quantidade de dados expostos, mas também pela natureza sensível das informações contidas neles. Com acesso a esses dados, cibercriminosos poderiam invadir redes domésticas e empresariais, sequestrar dispositivos IoT para realizar ataques em larga escala ou até mesmo manipular equipamentos conectados, como lâmpadas, ventiladores e sistemas de climatização.
Bancos de dados vulneráveis
Fowler explicou que a violação ocorreu devido à vulnerabilidade de bancos de dados MongoDB que foram deixados sem a proteção de uma senha. Ele afirmou: "Encontramos 13 pastas com mais de 100 milhões de registros cada, incluindo SSIDs de redes Wi-Fi, senhas em texto claro, endereços IP, identificadores de dispositivos e muito mais".
Dados expostos incluem:
- Nomes de redes Wi-Fi (SSIDs) e senhas
- Endereços IP de dispositivos e usuários
- Identificadores únicos de dispositivos IoT
- Informações sobre sistemas operacionais (iOS/Android)
- Tokens de APIs e versões de aplicativos
- Logs de erros com informações sensíveis
Com as credenciais expostas, um atacante poderia se conectar à rede Wi-Fi e comprometer outros dispositivos ou iniciar um ataque de 'vizinho mais próximo' (KNN). Esse tipo de ataque permite que hackers explorem redes próximas para atingir alvos específicos, como demonstrado em incidentes anteriores com hackers russos.
Vulnerabilidades em dispositivos IoT
Uma investigação revelou que os dados foram coletados via aplicativo Mars Pro, que é usado para controlar luzes de cultivo e sistemas de climatização da Mars Hydro. Apesar da política de privacidade do aplicativo afirmar que nenhum dado dos usuários é armazenado, a realidade contrasta com essa informação.
Fowler comentou: "Não está claro como os logs contêm detalhes de conectividade e credenciais. Uma possibilidade é que sejam capturados e registrados pelos dispositivos IoT quando conectados à rede local do usuário". Ele acrescentou: "Isso levanta questões sobre a segurança dos dispositivos IoT e a privacidade da rede".
Essa situação ressalta um problema já conhecido na indústria — a inadequada proteção dos dispositivos IoT. Um estudo da Palo Alto Networks concluiu que 57% dos dispositivos IoT são extremamente vulneráveis, enquanto 98% transmitem dados sem nenhuma criptografia, e 83% operam com sistemas desatualizados ou sem suporte.
De acordo com o pesquisador, "muitos dispositivos IoT apresentam capacidades de processamento limitadas, o que dificulta a implementação de recursos de segurança adicionais, ferramentas de criptografia ou atualizações de segurança essenciais".
Impacto no Brasil
Embora não existam informações específicas sobre quantos usuários brasileiros foram afetados pelo vazamento, é importante notar que a Mars Hydro vende seus produtos globalmente, incluindo no Brasil. Portanto, é provável que dados de clientes brasileiros estejam entre os registros expostos.
Esse incidente serve como um alerta sobre a necessidade de configurar corretamente os dispositivos IoT e adotar medidas de segurança adequadas. Usuários e fabricantes devem estar atentos aos riscos e tomar ações para proteger informações sensíveis.
Dicas para proteger seus dispositivos IoT
Para mitigar os riscos de exposição de dados e ataques, siga estas 9 recomendações ao configurar e utilizar dispositivos IoT:
- Altere as senhas padrão de fábrica para senhas fortes e exclusivas. Evite reutilizar senhas entre dispositivos diferentes e utilize um gerenciador de senhas para criar e armazenar credenciais seguras.
- Mantenha o firmware dos dispositivos sempre atualizado. Verifique se há atualizações regulares e aplique-as rapidamente. Sempre que possível, reduza seu trabalho ativando as atualizações automáticas.
- Segmente sua rede doméstica, mantendo os dispositivos IoT em uma rede separada dos computadores e smartphones, ajudando a conter invasões potencialmente graves.
- Desative recursos desnecessários como acesso remoto ou UPnP, se não forem utilizados. Quanto menos portas e serviços ativos, menor o alcance dos ataques.
- Empregue criptografia robusta nas comunicações Wi-Fi, dando preferência ao WPA3 ou, no mínimo, ao WPA2 com uma senha forte. Evite o uso de WEP, que é vulnerável.
- Revise as configurações de privacidade dos dispositivos e aplique as opções mais restritivas possíveis, desativando a coleta de dados desnecessária.
- Pense em usar um firewall dedicado para IoT ou uma VPN, oferecendo uma camada extra de proteção à sua rede.
- Monitore o tráfego de rede buscando atividades suspeitas. Existem ferramentas gratuitas que ajudam na detecção de anomalias.
- Ao descartar dispositivos antigos, restaure-os para configurações de fábrica para apagar todos os dados. Se possível, desative permanentemente o acesso à nuvem.