.
Um pesquisador de segurança afirma que a rede de academias e academias do Reino Unido Total Fitness estragou suas responsabilidades de proteção de dados ao não bloquear um banco de dados repleto de dados pessoais dos membros.
O pesquisador contou-nos que mais de 474 mil imagens de membros e funcionários – incluindo homens, mulheres e crianças – foram armazenadas em um banco de dados que foi deixado desprotegido e acessível ao público, sem a necessidade de senha.
O tamanho do banco de dados, segundo o pesquisador de segurança cibernética Jeremiah Fowler e relatado ao vpnMentor, totalizou 47,7 GB. Também incluía um conjunto de imagens que revelavam documentos de identidade de indivíduos, informações bancárias e de cartões de pagamento, bem como números de telefone e registros de imigração em alguns casos raros, afirmou Fowler.
“Isto levanta preocupações de privacidade relativamente à forma como as empresas recolhem imagens de membros ou clientes, como são armazenadas, por quanto tempo são mantidas e quem tem acesso a elas”, disse o investigador. “Muitas pessoas optam por permanecer privadas online e não compartilham publicamente imagens suas, de seus amigos, familiares ou filhos.
“Quase todas as contas de mídia social oferecem aos usuários a capacidade de ter um perfil privado e ter controle estrito sobre quem pode acessar seu conteúdo. No entanto, este não parece ser o caso das imagens enviadas por membros nas plataformas Total Fitness. possível que as imagens armazenadas no banco de dados backend sejam potencialmente retidas mesmo depois de serem excluídas pelo membro. Isso explicaria potencialmente por que o banco de dados continha imagens de documentos confidenciais.”
O banco de dados, que agora está bloqueado, foi preenchido com várias imagens, incluindo fotos dos rostos dos membros, enviadas por eles próprios durante o processo de registro on-line ou pela equipe que registrou os membros no local.
A Total Fitness disse que as imagens dos membros compreendiam apenas um “subconjunto” do cache total, enquanto outros arquivos incluíam fotos de artefatos como mercadorias e imagens comerciais. Relativamente ao número de imagens na base de dados, a rede de clubes de saúde sublinhou que apenas um número muito reduzido de imagens continha informação de identificação pessoal (PII).
A explicação está em desacordo com o relato das coisas feito por Fowler. Ele afirma que o banco de dados estava quase inteiramente preenchido com imagens de membros, cerca de 97 por cento – não apenas um “subconjunto”, como disse a Total Fitness.
Fitness total contado O registro que as imagens foram coletadas e armazenadas para “fins comerciais legítimos” e que são usadas para garantir que as associações não sejam mal utilizadas e para identificar membros específicos nas instalações, quando necessário.
A empresa possui 15 academias de ginástica no norte da Inglaterra e no País de Gales que atendem a mais de 100.000 membros e 600 funcionários. Os afetados serão contatados pela empresa hoje, disse.
Pela resposta inicial da empresa às nossas perguntas, não parece que aqueles que tiveram apenas suas imagens expostas serão notificados, mas O registro procurado por esclarecimentos sobre o assunto.
“Embora uma investigação inicial não tenha encontrado dados que pudessem [and] por si só identificar um indivíduo, que não seja uma foto do membro, continuamos nossa análise e conduzimos um exame mais completo, incluindo uma verificação imagem por imagem”, disse-nos um porta-voz da empresa.
“Este exame forense identificou um pequeno subconjunto de 114 imagens fornecidas por membros que incluíam informações que poderiam ser usadas para identificar um membro. Desativamos imediatamente esta pasta e essas imagens foram removidas.
“A partir de uma análise de nossos registros, não podemos ver nenhuma evidência de alguém acessando esses arquivos antes do alerta”.
O porta-voz também disse que o Gabinete do Comissário de Informação (ICO) do Reino Unido foi informado da situação e que a Total Fitness o apoiaria em quaisquer investigações que pudesse lançar.
“Tornamos como prioridade garantir que as imagens dos membros não sejam combinadas com outros dados que possam identificar o membro por meio de atualizações para a equipe e deixaremos isso mais claro em nossa comunicação aos novos membros que ingressam por meio do aplicativo, o que não envolve intervenção da equipe. no upload de imagens”, acrescentou o porta-voz.
Potencial de abuso
De acordo com os registros da Total Fitness, ela afirma que não há evidências de que qualquer pessoa não autorizada, além de Fowler, tenha acessado o site. Não se sabe por quanto tempo o banco de dados ficou desprotegido, mas o pesquisador calcula ter identificado arquivos que pareciam ter sido carregados já em março de 2021.
Independentemente disso, alguns clientes sem dúvida ficarão irritados com a violação de privacidade, especialmente com imagens de crianças armazenadas sem proteção.
Fowler enfatizou a seriedade do assunto ao levantar a questão crescente da IA e da tecnologia deepfake.
As imagens podem ser inseridas em uma ferramenta online de busca reversa de imagens para revelar identidades reais, que podem, teoricamente, vitimar as pessoas afetadas usando vários tipos de crimes cibernéticos.
Imagens deepfake em geral têm sido abusadas em golpes de sextorção há algum tempo, por exemplo. O FBI emitiu um alerta sobre alguns casos preocupantes no ano passado e, recentemente, em Abril de 2024, a Agência Nacional do Crime (NCA) do Reino Unido também emitiu avisos semelhantes.
Também existe a possibilidade de que essas imagens possam ser usadas por perfis falsos de redes sociais ou aplicativos de namoro para realizar golpes românticos.
Em um dos casos limitados investigados por Fowler, uma pesquisa reversa de imagens de um membro do Total Fitness levou à sua identificação como criador de conteúdo na plataforma OnlyFans. É viável que tais imagens possam ser usadas para atingir os fãs existentes com fraudes financeiras.
Não afeta apenas aqueles com um perfil especialmente público, qualquer pessoa pode ser vítima de roubo de identidade nesses casos, incluindo o próprio Fowler.
Ele disse: “Este é um problema pessoal para mim. Recentemente recebi várias mensagens de pessoas que não conheço informando que minhas informações e fotos estavam sendo usadas para entrar em contato com várias mulheres em uma tentativa de golpe de romance. me escolheram quando provavelmente poderiam ter tido uma taxa de sucesso melhor usando fotos de Brad Pitt ou Jeremy Clarkson, mas felizmente, como pessoa pública em minha função de pesquisador de segurança cibernética, sou fácil de contatar.
“Quando as potenciais vítimas suspeitaram, contactaram-me diretamente através de um canal oficial e confirmei que estava a ser personificado. Sei em primeira mão que saber que alguém está a tentar usar a sua identidade e imagens para prejudicar outras pessoas pode ser bastante perturbador. É por isso que a conscientização é um primeiro passo importante para proteger as identidades digitais online”. ®
.
