Vazamento de dados da Hello Gym expõe 1,6 milhão de arquivos de áudio de membros da academia
Um banco de dados desprotegido, gerenciado pela Hello Gym, expôs mais de 1,6 milhão de gravações de áudio de membros de academias. Saiba por que esse vazamento de dados deixa os clientes vulneráveis a spear-phishing, deepfakes e roubo de identidade.
Um incidente de exposição de dados atingiu a Hello Gym , uma empresa sediada em Minnesota que fornece serviços de tecnologia para o setor fitness. O pesquisador de segurança cibernética do Website Planet, Jeremiah Fowler, descobriu um banco de dados que não era protegido por senha, expondo um número substancial de arquivos de áudio.
As descobertas de Fowler, compartilhadas com o Hackread.com, revelam que o banco de dados continha mais de 1,6 milhão de arquivos de áudio (especificamente 1.605.345 arquivos), incluindo gravações telefônicas e mensagens de voz coletadas entre 2020 e 2025. Esses arquivos continham informações pessoais que poderiam ser usadas para diversos fins maliciosos. Os dados foram expostos por estarem armazenados em uma área de armazenamento desprotegida, o que significa que qualquer pessoa com o conhecimento necessário poderia acessá-los sem precisar de uma senha.
Investigações posteriores revelaram que os registros pertenciam a diversas academias nos EUA e Canadá. Embora as ligações fizessem referência a marcas de fitness conhecidas, Fowler identificou que uma empresa terceirizada, a Hello Gym, gerenciava o banco de dados. Ele confirmou isso conversando com representantes corporativos, que esclareceram que, embora as próprias empresas não gravem áudio, alguns franqueados independentes utilizavam um serviço terceirizado para esse fim.
O aspecto preocupante é que as informações contidas nos arquivos de áudio incluem nomes de clientes, números de telefone e os motivos das ligações para a academia. Esse tipo de dado é chamado de Informações Pessoais Identificáveis , ou PII, e sua exposição pode deixar os membros e funcionários da academia vulneráveis a riscos significativos.
Vale ressaltar que o banco de dados foi protegido poucas horas após a divulgação feita pelo pesquisador. No entanto, não se sabe por quanto tempo o banco de dados ficou exposto ou se alguém mais teve acesso a ele.
Em um mundo em que a tecnologia está em constante evolução, gravações de áudio, especialmente aquelas que contêm a voz de uma pessoa, são extremamente valiosas para cibercriminosos, pois podem ser usadas para ataques de spear-phishing ou engenharia social, falsificação de identidade ou roubo de identidade. Como Fowler observou na publicação do blog , gravações de áudio e mensagens de voz "não deveriam ser acessíveis publicamente, pois frequentemente incluíam dados pessoais".
Por exemplo, um golpista pode usar detalhes específicos de uma mensagem de voz para construir confiança e induzir alguém a revelar informações mais privadas. Ele pode facilmente se passar por funcionários de uma academia e convencê-los a compartilhar informações confidenciais de pagamento ou outros dados pessoais.
Além disso, dados de voz podem ser usados para criar deepfakes , que são gravações convincentes, porém falsas, e usá-las para se passar por indivíduos em golpes ou crimes financeiros. Embora a proteção imediata do banco de dados seja um passo positivo, a exposição de dados tão sensíveis destaca a necessidade crucial de todas as empresas estarem atentas à proteção das informações de seus clientes.
HackRead
