Dados de usuários ligados ao aplicativo de rastreamento de calorias Cal AI foram expostos online após um agente ameaçador afirmar ter invadido o serviço e divulgado um grande conjunto de dados contendo informações sobre seus usuários.
O indivíduo por trás da suposta violação publicou uma mensagem em um fórum de crimes cibernéticos e compartilhou oito arquivos contendo cerca de 14,59GB de dados. A postagem afirmava que os arquivos foram retirados do Cal AI, um aplicativo de controle de calorias baseado em inteligência artificial que analisa fotos de alimentos para estimar informações nutricionais.
Segundo o agente da ameaça, o conjunto de dados contém informações ligadas a mais de 3 milhões de usuários. Os registros expostos supostamente incluem endereços de e-mail e outros detalhes pessoais relacionados a contas de usuário.
Pesquisadores de segurança que analisaram amostras dos arquivos vazados disseram que as informações parecem conter dados relacionados a contas e perfis. Os registros supostamente incluem detalhes como peso, altura, gênero e, em alguns casos, datas de nascimento. O conjunto de dados também contém informações relacionadas a assinaturas e identificadores de transações associados a serviços pagos.
Dados adicionais descritos nos arquivos incluem informações de perfil de usuário, como nomes de usuário, nomes completos e conquistas de aplicativos. Outros registros contêm configurações de aplicativos, informações de grupo e registros limitados ligados à atividade de acompanhamento de refeições dentro da plataforma.
Pesquisadores disseram que o conjunto de dados exposto inclui milhões de entradas distribuídas por múltiplas tabelas. Por exemplo, um arquivo teria mais de 3,5 milhões de registros vinculados a dados de peso de usuários, enquanto outro contém mais de 3 milhões de entradas com informações de assinatura e e-mail.
O ator ameaçador afirmou que a violação foi possível devido a um banco de dados backend mal protegido. De acordo com a publicação, o atacante acessou um backend do Google Firebase que supostamente permitia que certas tabelas de banco de dados fossem lidas sem autenticação.
O atacante também afirmou que o aplicativo não depende de senhas tradicionais para login. Em vez disso, o serviço supostamente utiliza um sistema de PIN numérico de quatro dígitos para autenticação. A publicação alegava que o endpoint de login não implementou limitação de taxa ou proteções CAPTCHA.
Pesquisadores disseram que as informações de contato expostas, combinadas com outros dados pessoais, poderiam permitir que atacantes criem perfis detalhados dos usuários e realizem ataques direcionados de engenharia social.
A divulgação dos dados também parece incluir informações vinculadas a usuários mais jovens. Pesquisadores que revisaram os arquivos amostrais relataram encontrar registros pertencentes a um indivíduo nascido em 2014, levantando preocupações sobre a presença de dados infantis no conjunto de dados.
A violação não foi oficialmente confirmada pela empresa. Pesquisadores disseram que entraram em contato com os desenvolvedores por trás da Cal AI para solicitar comentários sobre as alegações, mas não receberam resposta no momento da reportagem.
Cal AI é um aplicativo de controle de calorias baseado em fotos que ganhou popularidade por meio de promoções de influenciadores e endossos nas redes sociais. O serviço foi recentemente adquirido pela plataforma de fitness MyFitnessPal e já foi baixado mais de 15 milhões de vezes.