Este Site Transmite Imagens das Câmeras de Usuários que Não Mudaram Suas Senhas

Na semana passada, eu sentei na frente do meu computador e assisti um jovem de Hong Kong relaxando na frente de seu laptop; uma mulher israelense arrumando o provador de uma loja de roupas; uma senhora assistindo TV na Inglaterra.

Nenhuma dessas pessoas sabia que eu as estava espionando, a milhares de quilômetros de distância, por dispositivos que transmitem, inadvertidamente, suas vidas privadas na internet.

Eu as encontrei em um site que afirma ter acesso direto ao feed de centenas de milhares de câmeras pessoais. O site disponibiliza uma lista de câmeras de 152 países, passando por lugares tão diversos quanto a Tailândia, o Sudão e a Holanda. O Reino Unido tem 1.764 câmeras no sistema. O Brasil, 974.

O site em questão transmite imagens de câmeras IP. Essas câmeras estão presentes nos dispositivos externos usados na vigilância de bens materiais, em babás eletrônicas, e na criação de sistemas de segurança caseiros e comerciais. Alguns desses dispositivos vêm com uma senha padrão que muitos consumidores não se preocupam em mudar, o que possibilita o acesso do site às câmeras.

O objetivo do site é chamar atenção para a segurança digital, segundo o criador do site (ignorem o fato de que o site tem propagandas). "O site foi criado para mostrar a importância das configurações de segurança", lê-se na página.

O site é o mais atual, e talvez um dos maiores exemplos de um movimento que envolve especialistas de segurança arriscando a privacidade individual com a justificativa de fomentar debates sobre grandes problemas de segurança. Essa abordagem pode até forçar alguma empresa a agir e consertar o problema; contudo, ela também pode prejudicar a comunidade.

Normalmente, quando um pesquisador encontra alguma falha de segurança em um dispositivo ou sistema, ele notifica a empresa em questão e junta-se a ela para encontrar alguma solução. Um exemplo: em maio um pesquisador informou o Google e a Microsoft sobre um método de transferência de vírus que fazia os usuários pensarem que estavam baixando um arquivo de um site seguro. O problema foi resolvido antes que o pesquisador levasse-o a público.

Normalmente, esse tipo de hacker white hat (um hacker especializado em encontrar falhas de segurança) se atêm a um código de conduta bem restrito. "Grande parte das políticas de divulgação responsável utilizadas pelos pesquisadores derivam da RFPolicy", me informou Shane Macaulay, diretor de segurança da IOActive, por email. "O procedimento descreve formas éticas de se lidar com empresas irresponsáveis, como divulgar falhas de segurança em fóruns especializados para chamar a atenção da empresa e 'espalhar a notícia', e outras formas de contactar a imprensa."

Esses princípios não são dogmáticos; eles são mais sugestões para uma relação segura entre pesquisadores e empresas; entre elas está a dica de manter um contato constante e liberar informação ao público somente no momento apropriado.

Mas muitos acreditam que algumas situações pedem uma abordagem diferente. No início do ano, dois pesquisadores revelaram uma vulnerabilidade decisiva em dispositivos USB. A vulnerabilidade permitia que qualquer dispositivo USB fosse contaminado por malwares indetectáveis e poderosos. Não havia nenhuma solução rápida para o problema.

Dessa forma, os pesquisadores publicaram os detalhes da vulnerabilidade para forçar toda uma indústria — aqueles que produzem dispositivos USB —a encarar o problema. Essa tática tem um lado ruim: com o código escancarado no Github, em teoria, qualquer criminoso empreendedor poderia criar um novo esquema lucrativo com base nessa pesquisa, ameaçando a segurança de um número incalculável de pessoas.

Matthew Green, professor assistente e pesquisador do Departamento de Ciência da Computação na Universidade John Hopkins, me disse por telefone que, em alguns casos, esse tipo de ação é necessária. "Eu admito que algumas falhas não podem ser resolvidas: você informa outras pessoas sobre elas, todos sabem sobre elas, mas ninguém tenta consertá-las", ele disse. "Em teoria, nesses casos, precisamos fazer algo para levar isso além."

Quanto ao site de câmeras IP, ele diz que não acredita que expor o feed de centenas de milhares de câmeras pessoais é a coisa certa a se fazer. "A diferença é que elas são vítimas; eles são indivíduos", disse Green.

Colocar o site no ar, disse Green, "me parece irresponsável". E isso se considerarmos que as afirmações de que o site foi criado para expor problemas de segurança são legítimas. "Tem muita gente que faz esse tipo de coisa para tentar ganhar um pouco de popularidade no meio", acrescentou Green. O criador do site não se manifestou até o momento.

Em 2012, uma coisa parecida aconteceu com as câmeras da Trendnet. O blog Console Cowboys anunciou uma falha crítica nessas câmeras, e alguém eventualmente criou um site parecido com o Google Maps, no qual qualquer um podia assistir a qualquer uma dessas câmeras — em teoria, para conscientizar o público sobre a questão e obrigar a Trendnet a fazer algo. Em resposta, a Trendnet anunciou uma atualização que iria consertar essa falha.

Mas esse novo site não tem como alvo uma falha técnica, e seu criador não parece ser um especialista em segurança comum. Apesar dele listar as diferentes marcas de câmeras sendo observadas (Foscam, Panasonic, Linksys, e IPCamera, e também os DVRs AvTech e Hikvision), a culpa não é necessariamente dos fabricadores. Boa parte da culpa é dos usuários e de seu descaso por senhas de segurança.

Os fabricantes das câmeras poderiam tomar algumas iniciativas, como forçar seus clientes a escolher uma nova senha quando o aparelho é ligado pela primeira vez, ou vender câmeras com senhas padrão únicas.

Chase Rhymes, presidente da Foscam, me falou que eles aplicaram a primeira medida há mais de um ano atrás, depois que descobriram que suas câmeras estavam sendo hackeadas por causa das senhas padrão. Mas Rhymes diz que "certamente não fizemos isso por causa desse site". Eles agiram por causa da invasão de uma babá eletrônica em 2013. A Foscam já sabia do site antes de entrarmos em contato; alguns repórteres do Mail on Sunday já os haviam procurado após descobrirem a página, no mês passado.

"Todas as câmeras sendo produzidas precisam receber uma nova senha durante o processo de configuração", disse Rhymes, por telefone. Ele afirma que, para as câmeras que já estão sendo usadas, eles lançaram um update que obriga os usuários a mudarem suas senhas. A empresa também afirma que entrou em contato com usuários e varejistas por email.

A Linksys, no entanto, ouviu falar pela primeira vez sobre o site pela minha boca. A empresa ainda "está tentando determinar quais câmeras IP da Linksys aparecem no site", mas acredita que elas sejam modelos antigos e descontinuados. Suas câmeras mais modernas exibem um aviso para os usuários que ainda não mudaram suas senhas padrão.

De acordo com o site, se você descobrir que sua câmera está sendo exibida e quiser retirá-la, é só mandar um email que o feed será apagado. Se você não quiser que sua câmera continue exposta indefinidamente, o site recomenda que você mude sua senha. Mas como é que você, a pessoa do outro lado da tela, pode descobrir que sua câmera está sendo observada?

"O verdadeiro problema é que as vítimas — as pessoas sendo observadas — não sabem necessariamente que isso está acontecendo", disse Green.

Mesmo se esse pesquisador — isso se ele puder ser considerado um — estiver realmente tentando expor falhas de segurança, não há muita dúvida de que sua tática é ilegal nos Estados Unidos.

"É uma violação claríssima do Ato de Fraude e Abuso Digital (CFAA, na sigla original)", disse-me Jay Leiderman, um advogado com experiência em casos envolvendo hackers.

Parece que o site mudou de provedor depois da investigação conduzida pelo Mail; os repórteres disseram que o antigo provedor estava localizado em Moldova, mas tudo indica que agora o site está hospedado pelo GoDaddy.com, com um IP vindo de Moscou, na Rússia.

Após a publicação dessa reportagem, o suposto administrador do site respondeu os emails da Motherboard e reafirmou que o propósito do site é chamar atenção para a falta de segurança desses dispositivos. "A diferença é que [o site] mostra a escala do problema", escreveu. "O problema estava sendo ignorado há muitos anos."

O administrador acrescentou que, até o momento, ninguém pediu para ter sua imagem retirada do site. "A maioria das pessoas não tem conhecimento do problema", diz em um email. O processo de adicionar câmeras ao site é supostamente "automatizado", com milhares de feeds adicionados a cada semana.

Do ponto de vista legal, Leiderman diz que não importa que as câmeras não tenham sido hackeadas 'de verdade', mas sim acessadas com suas senhas padrão. "Se você coloca uma senha no computador é porque você quer protegê-lo, mesmo se essa senha for só '1'", disse. "É invadir um computador protegido."

Em certos casos, podemos defender a tática de denunciar falhas de segurança de forma espalhafatosa. Essa tática pode assustar as empresas e fazê-las lidar com um problema que elas poderiam muito bem ignorar. Mas sites como este, que expõem a vida particular de milhares — pessoas que nunca vão descobrir que estão sendo observadas — não oferecem nenhuma solução. A verdadeira motivação dos criadores do site permanece um mistério.

"Eu realmente acho que é bem improvável que isso resulte em mais conscientização sobre o problema", concluiu Green. "Se colocarmos numa balança, acho que isso vai atrapalhar mais do que ajudar."

Tradução: Ananda Pieratti