/i.s3.glbimg.com/v1/AUTH_71a8fe14ac6d40bd993eb59f7203fe6f/internal_photos/bs/2023/N/u/kvAUjKQfCeGHg7BuVILg/2022-02-15-gettyimages-521761442.jpeg)
Uma brecha em dois servidores do site de acompanhantes Fatal Model pode ter tornado vulneráveis informações sensíveis, incluindo quase 70 mil perfis ligados a acompanhantes, segundo investigação do especialista em segurança Jeremiah Fowler, cofundador da firma Security Discovery - a autoria da descoberta foi confirmada por Fowler em troca de e-mails com a GQ Brasil.
Informações que podem ter sido comprometidas incluem endereços de e-mail, números de telefone, e detalhes dos dispositivos usados para o usuário acessar a plataforma. Além disso, entrariam no bolo registros internos da própria Fatal Model, incluindo código-fonte da plataforma. O misto de informações de usuários e corporativas criam o risco de que criminosos possam contatar clientes e acompanhantes fingindo serem representantes da empresa, detalha Prowler em seu blog.
/i.s3.glbimg.com/v1/AUTH_71a8fe14ac6d40bd993eb59f7203fe6f/internal_photos/bs/2023/Q/h/5Lahs2R1uYk986eevneQ/fatal-model-gq.jpg)
Um dos servidores incluiria mais de 14,6 milhões de entradas, com tamanho de 19,1 GB, de acordo com a investigação. Uma segunda conta de armazenamento, dentro da Amazon Web Services (AWS), tem outros 700 GB de arquivos (cerca de 3,5 milhões de entradas) relacionados à operação cotidiana da empresa.
No caso de contas ligadas a acompanhantes, dados potencialmente atingidos incluiriam imagens e vídeos usados para processos de verificação junto com a plataforma e fins publicitários. O material data de 2022 e 2023.
"O banco de dados de logging foi fechado ao público no mesmo dia de minha descoberta, enquanto o servidor AWS se manteve aberto até eu enviar uma notificação", escreve o especialista, contando que a equipe foi profissional e que não houve sinais de má conduta interna.
Fowley encontrou ambos os registros com acessos desprotegidos. "É muito raro ter duas bases de dados em nuvem distintas não protegidas por senhas", diz à GQ Brasil. "Esses arquivos estavam disponíveis para qualquer um com uma conexão à internet, e embora seja um negócio legítimo e uma das profissões mais antigas do mundo, tanto clientes quanto acompanhantes são pessoas reais e os usuários merecem um nível de privacidade e proteção de dados."
Em comunicado, a Fatal Model diz não haver nenhuma evidência de exposição de dados sensíveis ou informações confidenciais. Os servidores citados por Fowley correspondem a infraestruturas de teste, segundo a empresa, que também armazenam informações usadas em tarefas de desenvolvimento do serviço. Após a descoberta da abertura, camadas adicionais de segurança foram adicionadas.
“É necessário esclarecer que o servidor identificado pelo especialista em segurança, Jeremiah Fowler, nada mais é do que o local em que a plataforma salva todas as fotos publicadas pelos anunciantes, ou seja, todas as imagens que já estão disponibilizadas de forma pública. Logo, os dados a que ele se refere já são públicos, por iniciativa e vontade própria dos anunciantes, que usam a plataforma para divulgar seu trabalho. Não há, portanto, como haver vazamento de dados que se deseja e concede que sejam públicos”, diz a empresa à GQ.
A empresa comenta que investe em medidas de segurança e iniciativas que melhorem a confiabilidade dos serviços, alvo de milhões de tentativas de ataques cibercriminosos todos os meses.
Leia a nota de esclarecimento na íntegra
O Fatal Model nega de forma veemente que dados sigilosos de usuários e anunciantes do site tenham sido vazados, como divulgado em alguns sites.
É necessário esclarecer que o servidor identificado pelo especialista em segurança, Jeremiah Fowler, nada mais é do que o local em que a plataforma salva todas as fotos publicadas pelos anunciantes, ou seja, todas as imagens que já estão disponibilizadas de forma pública. Logo, os dados a que ele se refere já são públicos, por iniciativa e vontade própria dos anunciantes, que usam a plataforma para divulgar seu trabalho. Não há, portanto, como haver vazamento de dados que se deseja e concede que sejam públicos.
No site, informações específicas dos anunciantes, como número de telefone, mídia de comparação, entre outros dados, também são abertos para facilitar o contato entre anunciantes e usuários.
A suposta descoberta sobre um amplo vazamento de informações pessoais não procede, em nenhuma hipótese. Para garantir que a acusação não passava de mera especulação, o Fatal Model contratou durante o fim de semana dois dos maiores especialistas em dark web no Brasil para verificar de forma minuciosa se algum dado sigiloso foi tornado público. O resultado da investigação: nenhum usuário ou acompanhante foi impactado pelo suposto vazamento.
O Fatal Model é pioneiro em medidas de segurança para combate a perfis fraudulentos, como a mídia de comparação e autenticação facial – por meio da ferramenta Facetec, utilizada amplamente em aplicativos de grandes bancos digitais mundo afora. Contamos com mais de 300 colaboradores dedicados em elaborar medidas de segurança e melhorias que elevam o nível de confiabilidade do site.
Além disso, a plataforma conta com: validação do nível de confiabilidade de cada anúncio, combate a anúncios fakes e sistema de denúncias, sendo sério e profissional em relação à segurança e privacidade.
O departamento jurídico da empresa já está mobilizado para apurar os danos de imagem oriundos desta infundada acusação.
Reafirmamos nossa plena confiança nos nossos sistemas de segurança, que proporcionam, desde 2016, um ambiente profissional, protegido e assertivo para os usuários e anunciantes.
