A empresa Lovense, conhecida por fabricar brinquedos sexuais conectados à internet, confirmou recentemente que resolveu duas vulnerabilidades de segurança que expuseram dados privados de seus usuários. Enquanto a companhia afirmou que os problemas foram 'totalmente resolvidos', seu CEO está considerando ações legais após a divulgação do incidente.
Em um comunicado compartilhado com o TechCrunch, Dan Liu, CEO da Lovense, declarou que a empresa está 'investigando a possibilidade de ação legal' em resposta a relatos supostamente incorretos sobre as falhas. No entanto, quando questionada pelo TechCrunch, a companhia não respondeu para esclarecer se se referia a reportagens da imprensa ou à revelação feita por um pesquisador de segurança.
Os detalhes das vulnerabilidades vieram à tona esta semana após o segurança BobDaHacker, que usa o pseudônimo, revelar que havia relatado os dois problemas à empresa há meses. O pesquisador publicou suas descobertas após a Lovense afirmar que levaria 14 meses para corrigir as falhas, em vez de adotar uma 'solução mais rápida, fixando tudo em um mês' que exigiria notificar os usuários para atualizarem seus aplicativos.
A Lovense disse que as correções implementadas exigem que os usuários atualizecem os aplicativos antes de poderem continuar a usar todas as funcionalidades. No comunicado, Liu afirmou que não há 'evidências sugerindo que dados dos usuários, incluindo endereços de email ou informações da conta, tenham sido comprometidos ou malutilizados'. No entanto, isso é confuso considerando que o TechCrunch (e outros meios) verificou a vulnerabilidade do email criando uma nova conta e pedindo ao pesquisador para identificar o endereço associado.
É incomum, mas não inédito, que organizações recorram a ameaças legais para tentar evitar a divulgação de incidentes de segurança constrangedores, apesar de poucas regras ou restrições nos EUA proibindo tais relatos. O exemplo recente de um jornalista independente dos EUA que rejeitou uma ordem judicial da Inglaterra para impedir a divulgação de um ataque de ransomware em um gigante da saúde privada ilustra bem o problema.
Esta história traz à tona questões sobre responsabilidade corporativa, transparência e a proteção dos dados no Brasil. Em um país onde a privacidade é cada vez mais questionada, casos como este nos fazem refletir sobre os limites do poder das empresas na era digital.
