O TeenSafe, serviço utilizado por pais para monitorar o comportamento e atividade dos filhos na internet, permitiu que dezenas de milhares de contas fossem vazadas a partir de uma falha de segurança em seus servidores.

• Software de envio de informações confidenciais não está vulnerável à falha no PGP
• Estudante de 16 anos é preso nos EUA após hackear escola e alterar notas

De acordo com a reportagem do ZDNet, o aplicativo de monitoramento “seguro” deixou pelo menos dois de seus servidores no serviço de nuvem da Amazon completamente sem proteção. Assim, qualquer pessoa que encontrasse esses servidores poderiam acessar as informações armazenadas ali, sem a necessidade de senhas.

Os servidores expostos, que foram descobertos pelo pesquisador de segurança Robert Wiggins, continha os endereços de emails dos pais que possuíam contas no TeenSafe, bem como os endereços de email associados com o Apple ID das crianças. As senhas das contas Apple ID das crianças também estavam disponíveis na base de dados, armazenadas em texto puro, sem nenhuma criptografia ou hash. O servidor também mostrava o nome do dispositivo da criança e o identificador único do aparelho.

Os servidores não continham nenhum conteúdo salvo, como fotos ou mensagens, mas colocou as contas em posição bem vulnerável. Para o aplicativo TeenSafe funcionar, era exigido que a autenticação em dois passos da Apple fosse desativada. Os servidores continham basicamente todas as informações precisas para que um ator malicioso invadisse a conta de uma criança; além disso, o principal meio de proteção contra tal ataque estava desativado para que o app funcionasse.

O ZDNet noticia que cerca de 10.200 registros foram encontrados, embora existissem alguns duplicados. O outro banco de dados exposto armazenava dados de teste. Não está claro se outros servidores também eram de fácil acesso. Os servidores desprotegidos já foram desconectados pelo TeenSafe.

“Tomamos medidas para fechar um dos nossos servidores ao público e começamos a alertar os clientes que poderiam ser impactados”, disse um porta-voz da TeenSafe ao ZDNet.

O TeenSafe, a propósito, é um serviço bem esquisito e invasivo. Ele não exige que adolescentes tenham consentimento para o uso do serviço – a companhia encoraja os pais a contar para os filhos sobre o aplicativo, mas basicamente diz que não há grandes problemas legais com isso – e entrega uma quantidade incrível de dados e de controle para os pais.

De acordo com o site da empresa, o aplicativo, que funciona no Android e iOS, oferece aos pais acesso completo a conversas enviadas via SMS e iMessage – incluindo mensagens apagadas. Ele mostra registros de ligações feitas e recebidas, bem como todos os contatos armazenados no dispositivo. Os pais podem rastrear o dispositivo em tempo real e visualizar um histórico de localização. O app consegue até armazenar todo o histórico de navegação da web, os favoritos marcados nos navegadores e mensagens enviadas por meio de serviços de terceiros, como WhatsApp e Kik.

A página do TeenSafe no YouTube está cheia de guias que mostram como os pais podem fazer qualquer coisa no celular dos filhos, como bloquear acesso a determinados aplicativos como Snapchat e Instagram ou até mesmo desligar o celular dos filhos “para a hora do jantar”. (O vídeo que ensina a desativar o celular tem uma cena em preto e branco de uma família jantando).

Talvez alguns desses recursos sejam necessários para os pais em 2018, mas muitos deles parecem um excesso. O Centro de Controle e Prevenção de Doenças dos Estados Unidos descobriu por meio de uma pesquisa anual que os jovens de hoje em dia são menos propensos a fumar, se embriagar e fazer sexo do que as gerações anteriores.

Com vídeos com títulos como “Com quem seu filho REALMENTE está trocando mensagens” e “Seu filho está sendo honesto?” parece que o TeenSafe não tem muita fé nos adolescentes. E depois da revelação de que dois dos servidores da empresa estavam expostos sem nenhuma senha e com informações armazenadas em texto puro, talvez os pais não devessem ter tanta fé no TeenSafe.

[ZDNet]

Imagem do topo: Captura de tela/YouTube