Teclado virtual vazou dados de 31 milhões de usuários

Faculdade de Educação Tecnológica do Estado do Rio de Janeiro

Teclado virtual vazou dados de 31 milhões de usuários

Brecha de segurança do ai.type deixou vazar nomes, e-mails, datas de instalação e informações sobre localização geográfica de cada um de seus usuários.

577 GB. Essa é a quantidade de dados do mais recente vazamento de informações na internet, desta vez atingindo a desenvolvedora de teclados virtuais ai.type. De acordo com as informações da imprensa internacional, 31 milhões de usuários viram dados pessoais como nomes completos, e-mails, datas de instalação do app e localização geográfica caindo na internet.

Outros dados vazados incluem, ainda, a marca e modelo dos smartphones utilizados, o provedor de internet e o endereço IP usado na data do acesso, bem como detalhes sobre a conexão, se acontecia por Wi-Fi ou redes móveis, por exemplo. Já seria ruim o suficiente se parasse por aí, mas uma análise mais profunda dos dados vazados sugere, também, que a empresa responsável pela solução estaria espionando seus usuários.

Isso porque, junto ao vazamento, também aparecem links para perfis do Google, datas de nascimento, gênero e fotos de perfis, além de números telefônicos teoricamente obtidos a partir da agenda de contatos dos usuários e listas de outros aplicativos instalados no mesmo aparelho. Todas informações às quais, em teoria, o ai.type não deveria ter acesso.

A maior parte do vazamento estaria ligado aos usuários de versões “freemium” do teclado, ou seja, aquelas que podem ser baixadas gratuitamente, mas contam com menos funções – e maior índice de telemetria enviada aos desenvolvedores. É justamente deles que grande parte do volume de dados estaria sendo coletado e enviado para um banco de dados online. O erro é que a infraestrutura não estava criptografada nem exigia uma senha para acesso, o que, em teoria, permitia que qualquer usuário com o endereço certo pudesse navegar, baixar e até deletar o que estava salvo por lá. Para um hacker com um mínimo de conhecimento, seria fácil copiar tudo e liberar na internet.

Os dados revelaram, ainda, que os usuários da versão iOS do ai.type estão seguros, com os dados estando relacionados apenas a utilizadores da versão Android. Informações de pagamento e dados bancários também não fazem parte do volume de dados, pois, conforme a empresa explicou, esse tipo de coisa não é armazenada em seus servidores justamente por uma questão de segurança.

A ai.type, entretanto, não revelou porque informações de localização e perfis de usuário estavam presentes em seus servidores. Em comunicado oficial, o criador do aplicativo, Eitan Fitusi, disse apenas que a companhia não espiona seus usuários e que todos os dados presentes no banco de dados estavam lá para fins de cadastro ou melhoria da aplicação.

É o caso, por exemplo, de registros de digitação – que não fazem parte do vazamento. Fitusi diz que tais métricas são enviadas de volta aos servidores da ai.type para o desenvolvimento de inteligências artificiais melhores, que facilitem a digitação. Entretanto, isso acontece sem que as palavras possam ser rastreadas de volta a quem as escreveu, servindo apenas para fins estatísticos e de evolução da plataforma.

Bastante popular, principalmente na Europa, o ai.type conta com mais de 40 milhões de usuários. Ele funciona mais ou menos como outras soluções do mercado, apresentando previsões, correções e temas, além de poder ter sua posição na tela customizada. O diferencial da solução é, justamente, seu sistema de inteligência artificial baseado na nuvem, com a empresa prometendo uma adaptação mais veloz ao estilo de cada cliente e também uma melhoria constante e geral na qualidade do app.

Caso você seja um usuário do ai.type – ou de qualquer serviço que já tenha sido alvo de vazamentos desse tipo – o ideal é trocar, principalmente, sua senha. Evite usar a mesma credencial em mais de uma plataforma, mas caso tenha feito isso, também modifique o método de acesso a todas elas, usando uma variação para cada uma. Grandes campanhas de invasão costumam acontecer após vazamentos desse tipo e, dessa forma, você mantém outros perfis seguros contra a ação de hackers.

Outro reflexo bastante comum de situações desse tipo são os e-mails falsos, enviados para os endereços revelados, muitas vezes se passando até pela própria empresa vitimada. Sempre desconfie de links enviados por correio eletrônico e evite clicar em sites enviados desta maneira, principalmente se eles exigirem dados adicionais, pois pode se tratar de uma campanha de infecção ou um golpe.

Fonte: CanalTech

Texto Original:
https://canaltech.com.br/seguranca/teclado-virtual-vazou-dados-de-31-milhoes-de-usuarios-104742/