Sequestro de membro: hacker trava cinto de castidade conectado e pede resgate

Hackers se aproveitaram de uma  falha de segurança em um cinto de castidade masculino conectado à internet para tentar extorquir dinheiro dos usuários.

Produzido por uma empresa chinesa chamada Qiui, o Cellmate tem uma falha em sua interface de comunicação, que permite a um hacker bloquear o aparelho e impedir que ele reaja aos sinais para desbloqueio enviados por um servidor.

E foi exatamente o que aconteceu. Segundo um pesquisador de segurança do site Vx Underground, que coleta amostras de malware , um usuário do cinto de castidade recebeu uma mensagem de um hacker dizendo: “seu pênis agora é meu!”.

De acordo com o Vice News a vítima, que se identificou apenas como Robert, disse que o invasor pedia um resgate de 0,02 Bitcoin (Cerca de R$ 3.500). Ao verificar seu Cellmate, Robert constatou que ele realmente estava trancado e não respondia mais aos comandos. “Por sorte eu não estava usando ele quando isso aconteceu”, disse.

Como o aparelho foi projetado para travar um anel de metal sob o pênis do usuário, em caso de invasão é necessário o uso de ferramentas de corte para libertá-lo, já que não há uma função de emergência que o abra.

A falha que permite o ataque não é nova: ela foi divulgada em outubro passado pela Pen Test Partners, uma empresa de segurança da Inglaterra. Os pesquisadores descobriram que a interface de comunicação (API) usada entre o Cellmate e os servidores da Qiui não é segura, e expõe uma incrível quantidade de informações sensíveis. Entre elas os nomes dos usuários, registros das conversas e localização exata, além de permitir o envio de comandos a qualquer aparelho no planeta.

A descoberta da vulnerabilidade ocorreu em junho de 2020, quando os pesquisadores contataram a Qiui e informaram sobre o problema. A empresa colocou no ar uma nova versão da API corrigindo a maioria dos problemas, mas deixou a versão antiga no ar. Apenas novos usuários tiveram acesso à correção, e quem já utilizava o app não foi informado de que deveria baixar um update.

Alex Lomas, analista da Pen Test Partners, vê o caso como um exemplo da importância das empresas manterem um canal de comunicação com os pesquisadores de segurança . “Quase toda empresa ou produto terá algum tipo de vulnerabilidade durante sua vida. Talvez não tão ruim quanto esta, mas alguma. É importante que todas as empresas tenham uma forma para que os pesquisadores possam contatá-las, e que se mantenham em comunicação com eles”.