A SmartMate, plataforma de gerenciamento centralizado de dispositivos inteligentes para casas conectadas, deixou vazar bilhões de registros de todos os seus consumidores em um servidor configurado erroneamente. Por conta de tal erro, qualquer indivíduo poderia acessar um banco de dados ElasticSearch contendo logs detalhados sobre a atuação de gadgets e sensores integrados ao serviço.
O vazamento foi identificado pela empresa vpnMentor e divulgado com exclusividade pelo ZDNet. O servidor seria gerenciado pela ORVIBO, uma companhia chinesa responsável não apenas pela SmartMate em si, mas também pela fabricação de uma gama enorme de produtos — incluindo câmeras de segurança, lâmpadas inteligentes, termostatos, fechaduras conectadas e sistemas de entretenimento e acessibilidade.
Os logs sensíveis (que estiveram expostos durante um total de duas semanas) incluíam principalmente emails, usernames e hashes de senhas em MD5. Em alguns casos, porém, as informações também incluíam dados sensíveis como endereço completo, nome da família, nome do dispositivo e até mesmo operações agendadas — algo que pode revelar os hábitos do usuário e abrir brechas para ataques altamente direcionados.
De acordo com os pesquisadores da vpnMentor, embora a maioria dos clientes afetados sejam chineses, também foram detectados dados de usuários do Japão, Tailândia, EUA, Reino Unido, México, França, Austrália e até mesmo Brasil. Embora a ORVIBO tenha se recusado a comentar publicamente sobre o caso, a empresa alterou as configurações do servidor e já resolveu o problema no momento em que esta notícia foi escrita.
- Leia mais notícias sobre Vazamentos.