Uma catraca inteligente vazou dados de clientes da Smart Fit. Identificado na última segunda-feira (25) pelo pesquisador de segurança Clandestine (@akaclandestine), o incidente ocorreu após o endereço de IP do equipamento ser indevidamente exposto à internet. Por meio da falha, foi possível obter nomes, documentos e até mesmo fotos dos usuários matriculados na unidade afetada, também sendo possível autorizar sua entrada arbitrariamente. Ao TecMundo, a Smart Fit confirmou a falha.

Em mais detalhes, o caso foi inicialmente denunciado por Clandestine em sua conta do X, o antigo Twitter. Na publicação, às 15h59 da segunda-feira (25), o pesquisador incluiu evidências da exposição indevida, junto de uma demonstração potencial de danos. Além disso, ele explicitou o endereço de IP e porta afetados, além de solicitar publicamente uma correção à Smart Fit.

Ainda às 19h17 do mesmo dia, outro usuário do X publicou mais uma exploração da falha. Em sua postagem, Hiago Felipe (@uphiago) demonstra um painel com informações supostamente relacionadas à alunos da Smart Fit afetada, incluindo seus documentos, número único de identificação de usuário, tipo de matrícula e até hora de entrada na catraca específica. A ferramenta teria sido desenvolvida com apoio de Inteligência Artificial, técnica popularmente conhecida como "vibecoding".

Segundo relato de outros usuários também do X, o endereço de IP teria sido fechado próximo às 21h25. Até o momento, ainda não foi possível identificar a unidade afetada, bem como o número de usuários expostos pelo problema. O TecMundo entrou em contato com a Smart Fit que confirmou o problema e sua correção – seu posicionamento completo poderá ser lido na reportagem abaixo. A empresa prestadora de serviços IntegraFácil IOT Solutions, usada pela Smart Fit, também foi acionada. Até o momento, não houve resposta.

O que é um endereço de IP e por que ele importa?

Embora não seja possível confirmar por quanto o endereço de IP da catraca na Smart Fit ficou exposto na internet, as demonstrações compartilhadas em poucas horas pelos pesquisadores de segurança demonstraram a gravidade do problema. Tudo isso, na prática, pode ser explicado pela natureza da falha.

Um endereço de IP é uma informação relativamente comum quando se fala em conexões com a internet. Simplificando a grosso modo, sua função é análoga a um endereço residencial ou comercial: se dois dispositivos precisam trocar "cartas" entre si, este é o dado utilizado para identificar sua localização física. No contexto deste exemplo, o remetente seria identificado pelo endereço MAC, que é fixo para cada aparelho com capacidade de se conectar a uma rede.

Por outro lado, assim como casas, prédios e apartamentos possuem fins específicos e podem abrigar variados inquilinos durante sua existência, o mesmo endereço de IP pode ser atribuído a diferentes aparelhos em uma rede. É claro, apenas um aparelho será o "morador" por vez, mas assim que se desconectar, pode ou não dar a "vaga" para outro.

No mundo físico, todos os endereços são discutivelmente públicos para registrar, mas nem todos são acessíveis sem autorização. Tratando dos endereços de IP, há uma dinâmica similar: muitos são livres para consulta, enquanto outros exigem estar conectado em redes específicas, com as credenciais certas, para serem acessados.

Naturalmente, o exemplo acima está simplificado, mas ilustra bem o incidente ocorrido contra a Smart Fit. A catraca afetada possuía um endereço de IP, atribuído a um serviço de segurança, aberto para qualquer um na internet "visitar". A partir dele, qualquer usuário instruído poderia fazer solicitações que somente um funcionário autorizado poderia – e, em cenários mais graves, até acessar outros sistemas.

O que poderia ser feito com a falha na catraca da Smart Fit?

Apesar de parecer algo simples, a exposição da Smart Fit é bastante perigosa em diferentes etapas. No primeiro momento, ela permitiu acessar e extrair dados de todos os usuários cadastrados na unidade, incluindo fotos de perfil e seus documentos. Além dessas informações possuírem valor de venda imediato na Dark Web, elas também podem ser utilizadas para compor golpes elaborados ou até atualizar painéis criminosos de busca de dados. 

Neste caso em específico, por se tratar de um endereço comercial de alto fluxo, a falha também poderia ter permitido crimes "no mundo real" – como perseguição e até invasão. Como dito anteriormente, os IPs são dados que representam uma localização física e isso não muda no caso da catraca.

Embora as publicações não tenham especificado qual unidade tenha sido afetada, o endereço de IP – que já foi desativado – pode ser utilizado como um guia de referência. Neste caso, o valor aponta para o Viaduto do Chá, na cidade de São Paulo. Próximo à região, em apenas algumas quadras, há pelo menos duas unidades da Smart Fit.

Por esse motivo, a exposição indevida de um IP atribuído a um serviço de segurança é tão problemática. Neste caso, além de fornecer acesso a um sistema de controle, também poderia habilitar crimes ainda mais graves e com consequências mais imediatas para os clientes da Smart Fit.

A provedora das catracas inteligentes da Smart Fit, IntegraFácil IOT Solutions, não respondeu à tentativa de contato do TecMundo.

Smart Fit confirma ao TecMundo que problema já foi corrigido

Respondendo ao TecMundo, a Smart Fit confirmou o incidente e a exposição de dados, que teriam sido "prontamente corrigidos". Apesar do ocorrido, não houve interrupção dos serviços na unidade afetada – que segue não identificada, oficialmente.

Leia o posicionamento oficial da Smart Fit:

• “A Smart Fit informa que uma de suas unidades franqueadas identificou uma ocorrência de acesso indevido a um sistema local. A situação foi prontamente detectada e corrigida, sem impacto à continuidade das operações da unidade.
  
  A companhia mantém investimentos contínuos no aprimoramento de seus sistemas e protocolos de segurança da informação e seguirá atuando de forma permanente na evolução de suas práticas de proteção digital.”

O que a lei brasileira diz sobre o vazamento da Smart Fit?

Até o momento, não há registro de exfiltração ou venda de dados da unidade afetada da Smart Fit. Assim, a falha foi supostamente contida antes de provocar danos maiores. Apesar disso, se os dados sensíveis de clientes foram acessados por usuários terceiros, o incidente ainda é configurado como um vazamento de dados.

Nesse contexto, conforme já comentado em reportagens anteriores do TecMundo, a lei brasileira define uma série de resoluções para incidentes cibernéticos, baseadas principalmente na Lei Geral de Proteção de Dados (LGPD). Em situações como essa, a empresa deve emitir um comunicado oficial e também notificar à Agência Nacional de Proteção de Dados (ANPD), sob pena de multa caso falhe em se posicionar e oferecer as devidas soluções.

Para os clientes possivelmente afetados por um incidente, decisões recentes no campo jurídico definiram que, para se tornar elegível para uma restituição monetária, é preciso comprovar algum prejuízo provocado pelo incidente. Em outras palavras, somente o vazamento de dados não justifica o pagamento de valores a parte exposta.