- Catraca inteligente da Smart Fit vazou dados de clientes após o IP ser exposto na internet, permitindo acesso a informações e autorização de entrada.
- Publicações de pesquisadores indicaram que nomes, documentos e até fotos de alunos da unidade afetada ficaram expostos; houve demonstração de suposto acesso via painel com informações de matrícula e horários.
- O IP da catraca foi fechado por volta das 21h25; ainda não há confirmação de qual unidade foi atingida nem do número de usuários expostos.
- A Smart Fit informou que o problema foi corrigido e que não houve interrupção nas operações; a IntegraFácil IOT Solutions, fornecedora das catracas, foi acionada.
- Do ponto de vista legal, não houve confirmação de exfiltração ou venda de dados; a LGPD exige notificar a ANPD e comunicar clientes, e restituição depende de comprovação de prejuízo.
A catraca inteligente de uma unidade da Smart Fit expôs dados de clientes após o IP do equipamento ficar acessível pela internet. Pesquisadores de segurança identificaram a falha na segunda-feira, 25 de maio, e a empresa confirmou a correção sem interromper o funcionamento da unidade afetada.
O pesquisador Clandestine denunciou o vazamento no X, apresentando evidências da exposição e demonstrando danos potenciais. Mais tarde, Hiago Felipe, outro usuário da rede social, mostrou um painel com informações de alunos, incluindo documentos e horários de entrada, ampliando as evidências da vulnerabilidade. O resultado foi a disponibilização de dados de identificação e de matrícula.
Segundo relatos de usuários, o IP exposto foi fechado por volta das 21h25 do mesmo dia. Ainda não há confirmação de qual unidade foi atingida nem do número de usuários expostos. A Smart Fit afirmou ter resolvido o problema após a detecção.
A empresa prestadora dos dispositivos, IntegraFácil IOT Solutions, também foi acionada, mas não houve retorno até o momento. A publicação inicial indicou que o endereço de IP apontava para o Viaduto do Chá, em São Paulo, área com várias unidades da rede. A fabricante dos equipamentos não detalhou impactos adicionais.
O que caracteriza o incidente é a exposição pública de um IP ligado a um serviço de segurança. A partir disso, terceiros poderiam solicitar dados restritos ou, em cenários graves, facilitar acessos não autorizados a sistemas vinculados ao controle de entrada.
A exposição permitiu a visualização de informações de cadastro, incluindo nomes, documentos e fotos de usuários matriculados na unidade afetada. Especialistas ressaltam que endereços de IP podem sinalizar localização física, aumentando riscos de uso indevido.
A Smart Fit informou ao TecMundo que a falha foi corrigida rapidamente, sem interromper operações na unidade. Em nota, a empresa reforçou o compromisso com a melhoria contínua de segurança da informação.
A IntegraFácil IOT Solutions não respondeu aos contatos do TecMundo até o fechamento deste texto. O incidente não gerou confirmação de exfiltração ou venda de dados, segundo a companhia. O caso permanece sob avaliação de medidas adicionais de proteção.
Do ponto de vista legal, não houve confirmação de danos materiais aos clientes. A LGPD orienta a comunicação oficial e notificação à ANPD, com responsabilidade de identificar e mitigar impactos. Decisões judiciais recentes definem que prejuízos comprovados podem sustentar reparação monetária.
Entre na conversa da comunidade