Serviço de monitoramento parental TeenSafe vaza milhares de senhas de crianças

Um serviço projetado para ajudar os pais a monitorar a atividade na internet de seus filhos em dispositivos iPhone e Android vazou milhares de senhas de usuários, relata o ZDNet. O serviço, TeenSafe, afirma ser um aplicativo de monitoramento “seguro” para iOS e Android, projetado para permitir que os pais visualizem as conversas de mensagens de texto de seus filhos, monitorem quem estão ligando, acessem sua localização e histórico de navegação na web, e mais. No entanto, parece que, para dispositivos iOS, o serviço depende que os pais forneçam as senhas do Apple ID de seus filhos, que são armazenadas nos servidores da empresa, possivelmente para acessar dados do iCloud.

No entanto, um pesquisador de segurança baseado no Reino Unido, Robert Wiggins, descobriu na semana passada que o TeenSafe havia deixado um ou mais de seus servidores desprotegidos e acessíveis por qualquer pessoa, sem nem mesmo exigir uma senha. O ZDNet alertou a empresa, que retirou os servidores afetados do ar, com um porta-voz do TeenSafe afirmando: “Tomamos medidas para fechar um de nossos servidores ao público e começamos a alertar os clientes que poderiam ser potencialmente impactados.” Os servidores em questão armazenavam bancos de dados que continham endereços de e-mail dos pais junto com o correspondente Apple ID da criança, nome do dispositivo e senha em texto simples. Embora nenhum dos registros contivesse dados pessoais, como fotos, mensagens ou localizações, a senha do Apple ID seria suficiente para permitir que alguém acessasse dados pessoais da conta iCloud da criança e backups do iCloud; o TeenSafe exige que a autenticação de dois fatores seja desativada para usar o serviço.

O ZDNet observa que, antes do servidor ser retirado do ar, ele continha pelo menos 10.200 registros de dados de clientes dos últimos três meses, embora acrescente que alguns eram duplicados. O ZDNet contatou uma amostra de uma dúzia de pais cujos endereços de e-mail estavam incluídos nos dados vazados e confirmou que as informações — incluindo o endereço de e-mail da criança — estavam pelo menos recentemente, se não atualmente, precisas. O TeenSafe afirma ter mais de um milhão de pais usando o serviço, e não se sabe se existem outros servidores expostos que possam ter contido dados adicionais, nem por que dados sensíveis foram armazenados em texto simples.