“Seu pau é meu agora”, disse um cibercriminoso depois de invadir o cinto de castidade de uma vítima. Com o controle fálico do indivíduo, o cibercriminoso pediu um resgate em Bitcoin para devolver a chance da vítima voltar a ter uma ereção. Informações são da Vice.
- Só para lembrar: o Adobe Flash morre (definitivamente) hoje (12)
- Recuperação pós-ransomware custa US $ 1,5 milhão por dia à hospital dos EUA
- O Parler está morto — tens o que é necessário para arquivar seus conteúdos extremistas
A conversa entre o cibercriminoso e a vítima foi obtida pelo pesquisador de segurança, Smelly, que informa que conversou com diversas pessoas que foram vítimas de ataques a dispositivos de castidade inteligentes.
Cibercriminosos estão aproveitando de uma vulnerabilidade na API do Cellmate, que é fabricado pela chinesa de internet das coisas – sexuais –, a Qiui. A vulnerabilidade, no entanto, foi encontrada em outubro de 2020, por um grupo de pesquisadores de segurança do Reino Unido.
O cinto de castidade, ou gaiola de castidade, é um dispositivo historicamente projetados para mulheres, mas hoje muito comuns entre os homens, principalmente os da comunidade BDSM. Ele funciona como uma jaula para o pênis, impedindo a sua ereção, masturbação ou atividade sexual.
Ao fechar a gaiola, ela deve se manter fechada até que o parceiro sexual, que possui a chave - neste caso um aplicativo -, libere a trava. O cinto de castidade da Qiui é controlado por um microcontrolador integrado. A vulnerabilidade, ao explorada, permite que um cibercriminoso acesse e tome controle total desse microcontrolador, de forma remota.
“QIUI acredita que uma verdadeira experiência de castidade é aquela que não permite que o usuário tenha qualquer controle sobre ela”, diz o anúncio do produto na loja online da empresa. Seguindo este lema, a empresa oferece o controle da castidade não para seus usuários, muito menos para seus parceiros, mas para qualquer outra pessoa interessada.
A empresa informa que lançou uma atualização de software, que corrige a vulnerabilidade, além de uma solução, digamos, mais física - calma que não é um martelo -, desmontar o dispositivo com uma chave de fenda.
Uma das vítimas que conversou com a Vice informa que o cibercriminoso pediu um resgate de 0,02 Bitcoin (cerca de RS $ 37 mil) e sua gaiola “inteligente” estava realmente trancada, mas felizmente, seu pênis não estava dentro dela. Outra vítima, que prefere ser chamada de RJ, disse que o cibercriminoso entrou em contato exigindo um resgate para liberar a trava. “Eu não era o dono da gaiola, então não tinha controle dela em nenhum momento", disse.
IoT goes wrong
As soluções de internet das coisas podem ser muito úteis profissionalmente, em empresas e indústrias para automatizar processos e aumentar a produtividade. Mas, o fato de estarem conectadas à internet o tempo todo, as torna, além de mais vulneráveis, mais chamativas para criminosos na internet, já que ao acessar a rede do dispositivo, é possível acessar a rede local, na qual o dispositivo está conectado.
Os dispositivos inteligentes, como são conhecidos os dispositivos equipados com Internet das Coisas (IoT), ou seja, que se conectam à internet, não possuem uma boa reputação com relação à sua segurança. A The Hack já cobriu diversos casos de vulnerabilidades críticas encontradas em diversos segmentos desses equipamentos.
Como é o caso das campainhas inteligentes, até hoje vendidas na Amazon e em outros sites, que ao invés de proteger a sua casa, abrem as portas da sua rede e das suas câmeras de vigilância para cibercriminosos.
Tem também a história dos comedouros para pets, da Xiaomi, comercializado por cerca de RS$ 800, que uma pesquisadora conseguiu acessar todas as quase 11 mil unidades do dispositivo, no ano passado. Uma chapinha de cabelo piromaniaca e até uma vela (sim, uma vela) que é acesa por meio de um aplicativo (?).
“Quase todas as empresas e produtos terão algum tipo de vulnerabilidade em sua vida. Talvez não tão ruim quanto este [cinto de castidade], mas algo. É importante que todas as empresas tenham uma maneira de os pesquisadores entrarem em contato com elas”, disse Alex Lomas, pesquisador de segurança da Pentest Partners, que analisou o caso.
Fontes: Vice; Techcrunch; Qiui.