O mundo da cibersegurança enfrenta mais uma ironia.
É o caso do uKnowKids, um aplicativo “digital para pais” de uma empresa da Virginia (EUA) que jura fornecer uma proteção online superior para sua clientela. O aplicativo foi feito para rastrear as pegadas digitais das crianças – desde atividades online até seu comportamento na mídia social – para proteger as crianças contra os predadores online. A ironia é que o prometido manto de proteção foi recentemente posto em cheque depois que a empresa foi atingida por uma violação de dados.
O pesquisador de segurança Chris Vickery descobriu que uma “instalação MongoDB mal configurada“ levou à exposição de uma base de dados da empresa composta, em grande parte, de vários dispositivos Android e iPhones. Os dados incluem perfis de 1.700 crianças, coletados nos dispositivos Android e iPhones. Os perfis expostos incluíam nomes, endereços de email e credenciais de mídia social, coordenadas GPS, datas de nascimento, quase 7 milhões de mensagens de texto e quase 2 milhões de fotos, inclusive dos filhos dos proprietários da conta. Antes da descoberta, diz-se que a base de dados já estava exposta há pelo menos 48 horas antes de ser descoberta, relatada e imediatamente fechada.
Steve Woda, CEO da uKnow e uKnowkids, confirmou esse vazamento em uma declaração assinada na qual dizia, “É com grande pesar que informo a vocês que o uKnow teve sua base de dados repetidamente violada por um hacker usando dois diferentes endereços IP, nos dias 16 e 17 de fevereiro de 2016“.
Apesar de mais detalhes da ocorrência ainda não terem sido divulgados, Woda compartilhou fatos do ocorrido, detalhando que a vulnerabilidade da base de dados foi corrigida em 90 minutos após a sua descoberta. “Estamos reduzindo aos fatos dos últimos dias com uma análise forense de TODOS os sistemas do uKnow e pretendemos divulgar TODOS os fatos relevantes para nossos clientes e autoridades legais adequadas tão logo soubermos que nossos fatos estão 100% exatos“.
Em sua declaração, Woda disse que a base de dados não vazou apenas “0,5% das crianças que o uKnowKids ajudou os pais a protegerem online e no celular“, mas também uma grande parcela de “dados empresarias, segredos comerciais e algoritmos de sua propriedade desenvolvidos para alimentar algumas das mais importantes tecnologias do uKnow“.
Ele disse ainda que dois endereços IP que violaram sua base de dados privada em duas diferentes instâncias pertenciam a Vickery em Austin, Texas, a quem ele se refere como “hacker white-hat”, mas isso ainda não foi confirmado. Ele continuou, “Mr. Vickery baixou a base de dados do Uknow começando em 17 de fevereiro de 2016, quarta-feira, às 3:45 CT e terminou às 3:55 CT. Doze minutos após a violação final do endereço IP 209.144.254.123 e depois de fazer capturas de tela de nossa propriedade intelectual, de dados empresarias e de clientes, Mr. Vickery notificou a Uknow sobre sua violação de nossos sistemas privados“.
Isso iniciou uma discussão acalorada entre Woda e Vickery – começando uma disputa, extrapolando o desrespeito do primeiro pelas informações sensíveis dos clientes, com sua incapacidade de fornecer qualquer nível de autenticação em uma de suas bases de dados e pelas “boas intenções” do último.
Woda disse que a empresa buscou uma consultoria do Federal Trade Commission sobre os próximos passos a serem dados sobre o assunto, reiterando sua astuta conformidade com as regulamentações propostas pelo Ato de Privacidade Online para Crianças (Children Online Privacy Act, COPPA). O COPPA exige que empresas como o uKnowKids “estabeleçam e mantenham procedimentos razoáveis para proteger a confidencialidade, segurança e integridade das informações pessoais coletadas das crianças”, uma regra que Vickery alega que a empresa aparentemente violou.
Em uma declaração, ele nota, “Como as aplicações e serviços do software ‘Child Tracking” continua a crescer em popularidade, esse é um grande alerta para todo o setor para proteger, criptografar e salvaguardar as informações que coletam das crianças“.
Um incidente envolvendo o filho do irmão de Woda, onde a criança foi vítima de um predador online, foi o impulso da criação do aplicativo de rastreamento de crianças. Seu objetivo é criar uma comunicação aberta entre pais e filhos sobre os perigos da exposição na Internet – “para começar um diálogo com seus filhos sobre a cidadania digital e o comportamento responsável online“. Manifestando-se como uma camada de proteção adicional para as crianças, a empresa enfatiza que o aplicativo não é uma forma de spyware.
Ironicamente, o uKnowkids recebeu pedidos de uma opção para os pais que pudesse “esconder” o aplicativo nos dispositivos das crianças, contrariando os ideais de uma transparência entre os pais e filhos. Os termos e condições estipulados no aplicativo também receberam críticas porque não se responsabilizam em casos de perda de dados, termos que foram aceitos prontamente por todos os novos membros.
Não mais de dois meses atrás, a violação da VTech foi notícia depois que atores de ameaças extraíram nomes, datas de nascimento, informações de conta e mais de 190GB de fotos de sua base de dados de aplicações. No dia 24 de dezembro, termos e condições atualizados da empresa irritaram os consumidores e especialistas em segurança depois de transferir a culpa e responsabilidade para os clientes em casos de perda de dados prejudiciais, acrescentando uma frase que diz, “Você reconhece e concorda que qualquer informação que enviar ou receber durante o uso do site pode não ser segura e pode ser interceptada ou mais tarde adquiridas por outras pessoas não autorizadas“.
A sequência de falhas e violações de dados envolvendo crianças não parou nessa grande violação. No mesmo mês do hack da VTech, pesquisadores descobriram que a Hello Barbie da Mattel tinha uma falha que podia permitir que atores de ameaças entrassem na comunicação entre o brinquedo e os servidores ligados a ele. No começo desse mês, outro pesquisador descobriu uma vulnerabilidade envolvendo o Smart Toy Bear da marca Fisher-Price da Mattel.
Até o momento, Woda afirma que os clientes do aplicativo já foram adequadamente notificados e medidas de segurança foram acrescentadas para os novos clientes. Apesar de maiores detalhes não terem sido informados, a empresa garantiu práticas reforçadas e medidas firmes de segurança para proteger seus clientes.
“Acreditamos que proteger a identidade digital da criança é tão importante como a proteção do Número de Seguro Social da criança ou outras informações sensíveis. A possibilidade de abuso ou riscos de segurança envolvidos na coleta de dados não segura de crianças é um pesadelo que nenhum pai quer enfrentar”, Vickery compartilhou em uma declaração.
