Site brasileiro de acompanhantes pode ter exposto mais de 18 milhões de dados

O site brasileiro de acompanhantes Fatal Model pode ter exposto mais de 18 milhões de dados, incluindo nomes, e-mails, telefones, detalhes de contas e informações sobre dispositivos tanto das acompanhantes quanto dos clientes. Os bancos de dados que podem ter sido expostos têm tamanho de quase 720 GB.

As informações acerca do vazamento foram divulgadas hoje (23) por Jeremiah Fowler, pesquisador de cibersegurança e cofundador da empresa Security Discovery. O especialista revelou os detalhes do caso para o Website Planet.

De acordo com Fowler, os registros estavam em um banco de dados em nuvem que não tinha proteções. Depois de inspecionar, ele disse ter encontrado chaves de acesso e informações de armazenamento da conta do servidor da Amazon Web Services (AWS) do Fatal Model.

Por ser um white hat (hacker ético), ele disse que nunca contornou sistemas protegidos com senhas, o que não era o caso dos servidores do site de acompanhantes. O pesquisador disse ter encontrado também informações como códigos-fontes.

Ao Website Planet, Fowler contou que o banco de dados de registro foi fechado para acesso no mesmo dia em que ele descobriu a brecha. Já o banco de dados da AWS permaneceu aberto até o momento em que ele avisou os responsáveis pela plataforma.

Segundo ele, a equipe do Fatal Model explicou que o bucket (container de arquivos e metadados destes arquivos) tinha dados disponíveis publicamente.

Provas da possível exposição

Jeremiah Fowler listou que o banco de dados de registro continha 14,6 milhões de registros e tamanho de 19,17 GB, enquanto a nuvem de armazenamento na AWS continha mais de 3,5 milhões de arquivos e tamanho de 700 GB.

No servidor em nuvem havia, por exemplo, uma pasta chamada "2022" onde estavam 35,4 mil contas de acompanhantes com imagens e vídeos de verificação das profissionais. Em outra pasta nomeada "2023" havia mais de 33 mil contas de acompanhantes também com registros audiovisuais.

O pesquisador em cibersegurança ainda informou que o banco de dados tinha arquivos de aplicativos, de instalação, tokens de acessos administrativos e informações sobre dispositivos dos usuários do Fatal Model. O hacker white hat compartilhou capturas de telas que mostram os acessos, confira abaixo:

A imagem mostra dados pessoais como e-mail e telefone dos usuários que estão nos registros de log

O printscreen mostra a estrutura das URLs do painel de administração que potencialmente são identificáveis

A captura de tela mostra como o log registra detalhes do dispositivo exposto

Esta é uma imagem de verificação de uma acompanhante do Fatal Model

Alerta

Fowler argumentou que a suposta exposição é perigosa, já que cibercriminosos poderiam capturar os dados e chantagear tanto clientes quanto acompanhantes. Apesar de a prostituição não ser crime no Brasil, agentes maliciosos poderiam extorquir as vítimas e pedir dinheiro em troca de não divulgar as informações pessoais online, por exemplo.

Ele explicou que os arquivos possivelmente expostos são perigosos, já que poderia ser possível extrair dados de clientes em arquivos JavaScript (.js) ou ainda injetar códigos maliciosos em arquivos de desenvolvimento, o que permitiria a propagação de malwares e vírus.

As brechas no Fatal Model poderiam colocar expor os arquivos a malwares e vírus (Imagem: solarseven/Getty Images)

Por último, o especialista deixou claro que apesar das brechas, não há como assumir que algum agente malicioso acessou os registros anteriormente, já que somente uma auditoria poderia chegar a esta conclusão. Ele esclareceu ainda que as descobertas não inferem qualquer má conduta intencional ou negligência do Fatal Model.

Confira: Descubra o que fazer em caso de vazamento de dados pessoais

"Também não insinuamos nenhuma irregularidade por parte da Fatal Model e apenas publicamos nossas descobertas para aumentar a conscientização e promover as melhores práticas de segurança cibernética", ressaltou.