"Tudo o que se conecta à internet pode ser atacado." Essa afirmação continua válida e, nos últimos anos, diversos casos comprovaram isso. Estamos falando de ataques direcionados a dispositivos bastante presentes em nossos lares, muitos dos quais você talvez nem soubesse que poderiam ser invadidos.
O mundo da Internet das Coisas (IoT, na sigla em inglês) cresceu significativamente na última década. Cada vez mais dispositivos do cotidiano estão interconectados, formando um vasto ecossistema digital. Entretanto, essa conectividade também abriu novas portas para o cibercrime. Um dos principais facilitadores é o uso recorrente de senhas fracas ou pré-definidas, que são facilmente adivinhadas.
Por isso, neste post, vamos relembrar cinco histórias em que o cibercrime encontrou nos dispositivos domésticos uma nova maneira de realizar ataques, resultando em consequências relevantes.
Um espião de pelúcia
Para esta história, voltamos ao ano de 2017, quando um aparentemente inofensivo ursinho de pelúcia tornou-se o centro de uma grave exposição de conversas privadas e dados sensíveis de menores de idade.
Como isso aconteceu? A empresa norte-americana Fisher-Price lançou um urso de pelúcia revolucionário que se conectava à internet para enviar e receber mensagens de voz. O objetivo era aproximar pais e filhos, mesmo à distância.
O problema surgiu porque todas essas mensagens pessoais e familiares eram armazenadas nos servidores da empresa, que não previram um ataque cibernético. Isso facilitou a ação dos atacantes, que conseguiram acesso a mais de dois milhões de gravações de voz, além de dados sensíveis das crianças cadastradas na plataforma. No fim, o brinquedo revelou-se um adorável espião.
Ataque a um cassino em Las Vegas
A criatividade do cibercrime é impressionante. A história do ataque a um cassino em Las Vegas, realizado por meio do termômetro de um aquário instalado em um de seus salões, parece inacreditável, mas é verdadeira. Esse aquário possuía sensores conectados a um computador para controlar a temperatura, a alimentação e a limpeza do tanque.
Através de uma vulnerabilidade no termômetro inteligente do aquário localizado no lobby, cibercriminosos conseguiram se infiltrar na rede. A partir daí, navegaram livremente até acessarem o banco de dados do cassino. Em 2017, conseguiram comprometer os sistemas da casa e obter informações sensíveis, como os nomes de grandes apostadores.
Uma câmera indiscreta
O Natal é um dos momentos mais felizes do ano, com presentes, jantares em família e boas lembranças. No entanto, nesta história, foi o início de um pesadelo. Em dezembro de 2019, as câmeras de segurança Ring estavam entre os presentes mais desejados, mas poucos sabiam que poderiam colocar a privacidade em risco.
Segundo reportagens, uma família teve sua câmera invadida devido ao uso de uma senha fraca. Com a ajuda de um software especializado, conforme explica o site Vice, os atacantes cruzaram nomes de usuário, e-mails e senhas para acessar as contas das vítimas.
Os criminosos passaram a controlar o dispositivo, que deveria servir para monitorar o quarto da filha via aplicativo. Em vez disso, transformou-se em uma janela aberta para invasores.
Um dos casos mais assustadores envolveu uma mulher do Texas, contatada por uma voz que saía da câmera, afirmando ser do suporte técnico da Ring. O invasor exigiu 50 Bitcoins para resolver um suposto problema no dispositivo. Com o avanço da ameaça, a mulher passou a receber mensagens afirmando que o criminoso estava próximo de sua casa. A única solução foi desligar e remover a câmera.
Um perigoso exército doméstico
Mirai foi uma botnet descoberta em agosto de 2016, que rapidamente ganhou notoriedade após um ataque DDoS de proporções quase inéditas. Muitos se lembram do dia: 21 de outubro de 2016. Naquele dia, o provedor de serviços DNS Dyn sofreu um ataque DDoS contínuo, que causou quedas em diversos sites e serviços, incluindo Twitter, Airbnb, Reddit, Amazon, SoundCloud, Spotify, Netflix e PayPal.
O diferencial da botnet Mirai era seu exército de mais de 600 mil dispositivos, incluindo roteadores domésticos, gravadores de vídeo, câmeras de vigilância e outros dispositivos inteligentes mal configurados, sem proteção adequada ou com senhas fracas.
Vulnerabilidade sobre quatro rodas
Antes de começar, uma observação importante: neste caso, não houve intenções maliciosas, pois os responsáveis eram dois hackers éticos que queriam demonstrar como uma vulnerabilidade poderia permitir o controle remoto de um carro.
Em 2015, Charlie Miller e Chris Valasek apresentaram uma técnica de ataque que lhes dava controle sem fio do veículo. O resultado foi o seguinte: as saídas de ar passaram a soprar no máximo, o dial do rádio foi alterado e os limpadores de para-brisa foram acionados, embaçando o vidro. Esse teste levou a montadora a realizar um recall de aproximadamente 1,4 milhão de veículos vendidos nos EUA.
Já em 2022, um desafio viral no TikTok, o "Kia Challenge", mostrou como era possível acessar e ligar carros usando apenas um cabo USB. O resultado foi trágico. Foram registrados pelo menos 14 acidentes e oito mortes. Como resposta, Hyundai e Kia desenvolveram um software antirroubo para milhões de veículos sem imobilizador, disponibilizando-o gratuitamente.
Quais medidas de proteção adotar para evitar esse tipo de ataque?
Uma das formas mais eficazes de reduzir riscos é manter os dispositivos sempre atualizados. A maioria das vulnerabilidades é corrigida rapidamente pelas fabricantes.
Outro ponto essencial é substituir as senhas padrão por combinações robustas, com letras maiúsculas, números e caracteres especiais. Além disso, é importante não reutilizar senhas em diferentes dispositivos ou contas.
Também é fundamental configurar os dispositivos de forma segura. Isso inclui desativar portas e serviços desnecessários, além de evitar o uso de configurações padrão.
Por fim, é altamente recomendável ativar a autenticação em dois fatores em todos os dispositivos que ofereçam essa opção.
