O desenvolvedor chinês de jogos Android vazou dados pessoais de jogadores que não deveriam ter sido coletados

Desenvolvedores chineses de jogos populares para celulares Android expuseram os dados pessoais dos usuários por meio de um servidor desprotegido. O problema foi relatado por especialistas do grupo vpnMentor, 134 GB de informações estavam disponíveis gratuitamente.

Fonte: freepik.com

A empresa EskyFun que vazou é a desenvolvedora de muitos jogos para Android. Os usuários dos seguintes aplicativos corriam risco: Rainbow Story: Fantasy MMORPG, Metamorph M e Dynasty Heroes: Legends of Samkok. No total, eles foram baixados mais de 1,6 milhão de vezes. De acordo com o vpnMentor, 365.630.387 registros feitos desde junho de 2021 eram de domínio público. Para agravar o problema, os desenvolvedores de jogos impuseram configurações aos usuários que resultaram em aplicativos coletando muitos dados – muito mais do que o necessário para jogos móveis padrão.

Em particular, os endereços IP de usuários, números IMEI e outras informações sobre dispositivos, números de telefone, versões do sistema operacional, registros de eventos em dispositivos independentemente da presença de acesso root, informações sobre a compra de jogos e relatórios de transações, endereços de e-mail, senhas foram coletados de contas no sistema EskyFun (salvos em texto não criptografado), bem como solicitações ao serviço de suporte. De acordo com as estimativas do vpnMentor, o banco de dados publicado contém os dados de aproximadamente um milhão de usuários.

O vazamento foi descoberto em 5 de julho, dois dias depois, os especialistas do vpnMentor tentaram entrar em contato com o desenvolvedor, mas não obtiveram resposta. Tendo feito uma segunda tentativa de contato com a EskyFun em 27 de julho e novamente sem resposta, os especialistas tiveram que entrar em contato com a equipe de resposta do CERT em Hong Kong em 28 de julho, após o que o servidor de jogo ainda foi colocado em modo de segurança. “A maioria desses dados era confidencial, e a empresa de videogame não precisava armazenar esses dados granulares do usuário. Além disso, ao não proteger os dados, o EskyFun expôs mais de um milhão de pessoas ao perigo potencial de atividades fraudulentas, hackers e muito mais ”, comentou sobre o incidente no vpnMentor.