Smart Fit expõe dados de clientes por falha em catraca inteligente
Escrito por Mariana Silva
AtualizadoUma falha de segurança em uma catraca inteligente da Smart Fit expôs dados de clientes na internet na última segunda-feira, dia 25 de Maio.
O incidente foi identificado pelo pesquisador de segurança Clandestine, que denunciou publicamente a vulnerabilidade no X, antigo Twitter: o endereço de IP do equipamento estava aberto para qualquer usuário da rede, permitindo acessar informações cadastrais dos alunos da unidade afetada (incluindo nomes, documentos, fotos de perfil, tipo de matrícula e horários de entrada).
A denúncia foi feita com evidências e uma demonstração dos danos da exposição. Horas depois, outro usuário publicou prints de um painel com dados de alunos, desenvolvido com apoio de inteligência artificial, técnica conhecida como "vibecoding" (um método de desenvolvimento de software em que você cria aplicativos conversando com IA em vez de escrever código manualmente).
O endereço de IP vulnerável foi desativado por volta das 21h do mesmo dia.
Como a falha aconteceu?
A falha se deu porque o IP atribuído ao sistema de controle da catraca estava publicamente acessível, sem exigir credenciais ou estar restrito a uma rede interna.
Com isso, qualquer pessoa com conhecimento técnico poderia consultar os dados cadastrais dos clientes e até liberar remotamente o acesso à catraca, o que representava risco também fora do ambiente digital, com possibilidade de perseguição e invasão.
Segundo análise do endereço de IP desativado, a unidade afetada estaria localizada em São Paulo, onde há pelo menos duas unidades da rede. No entanto, a Smart Fit não confirmou oficialmente qual unidade foi atingida nem o número de clientes expostos.
O que diz a legislação brasileira?
Mesmo que não haja registros de venda ou uso indevido dos dados, o acesso por terceiros não autorizados já caracteriza vazamento de dados sob a Lei Geral de Proteção de Dados (LGPD).
Nesse cenário, a empresa tem obrigação de notificar a Autoridade Nacional de Proteção de Dados (ANPD) e emitir comunicado oficial, sob pena de multa. Contudo, decisões judiciais recentes indicam que clientes afetados precisam comprovar prejuízo concreto para pleitear indenização.
A IntegraFácil IOT Solutions, empresa prestadora dos sistemas de catraca da Smart Fit, não respondeu sobre o caso às reportagens.
Como se proteger dos vazamentos de dados?
Quando dados pessoais são expostos sem que o usuário saiba, a melhor defesa é a atenção redobrada. Veja o que fazer:
- Monitore seus documentos: CPF exposto pode ser usado para abrir contas, contratar serviços ou aplicar golpes em seu nome. Consulte regularmente o Registrato (Banco Central).
- Desconfie de contatos inesperados: golpistas que obtêm nome, foto e documento de uma pessoa conseguem montar abordagens muito convincentes. Se alguém entrar em contato se passando por uma empresa ou instituição, desligue e retorne pelo canal oficial.
- Ative alertas de segurança: habilite notificações de acesso nas suas contas bancárias Exija transparência da empresa: clientes que acreditam ter sido afetados têm o direito de solicitar informações à Smart Fit sobre quais dados foram acessados. O pedido pode ser feito com base na LGPD, e a empresa tem prazo legal para responder.
Seus dados fazem parte da sua identidade e, quando vazam, podem cair nas mãos de criminosos. Casos como o da Smart Fit mostram a importância da proteção digital; por isso, acompanhar suas informações e ficar atento a usos suspeitos é essencial.
[dark-web]
