Connect with us

CIÊNCIA & TECNOLOGIA

Popular app de captura de tela tem compartilhamento inseguro e exposto a golpes

Um pesadelo de segurança. Foi assim que a revista americana Wired definiu o aplicativo Lightshot, que promete o compartilhamento fácil de screenshots e está disponível em versões Windows, Mac e Linux. O problema é que essa comodidade, com a captura de tela sendo realizada a partir de atalhos rápidos do teclado e hospedada automaticamente na nuvem, acompanha uma série de riscos sérios para a proteção dos usuários, ao lado de práticas inadequadas aplicadas pelos responsáveis pelo software.

Gratuito, o software leve e de instalação simples funciona sempre em segundo plano, permitindo que o usuário atribua teclas para o registro de tudo o que está sendo exibido na tela ou apenas um trecho selecionável, com upload e link rapidamente disponíveis e podendo ser abertos ou copiados para envio, também, com um clique. Os problemas começam, justamente, nas URLs, criadas de forma sequenciais e completamente abertas, podendo ser acessadas tanto pelo usuário, e também por aquele a quem o link for enviado, mas por qualquer pessoa na internet.

O endereço é simples, composto de duas letras e quatro números. Uma análise rápida e aleatória feita pelo Canaltech encontrou desde capturas de construções no Minecraft, registros de chats em jogos online e screenshots de sites até circunstâncias bem mais graves. Documentos pessoais, comprovantes de pagamento e senhas de acesso a serviços online também foram localizados por meio de um processo que, literalmente, envolveu bater a mão no teclado para gerar dígitos aleatórios que coincidissem com os padrões da plataforma online do Lightshot.

Os casos mais graves envolveram um comprovante completo de transação pelo Mercado Pago, com direito a e-mail do comprador, valor pago, parcelamento, informações do vendedor e números de comprovação. Dois outros casos envolvem links de acesso e credenciais de carteiras de criptomoedas, enquanto um terceiro contém o que aparenta ser uma nota fiscal de exportação de um produto, com valores, assinaturas e carimbos oficiais de autoridades aduaneiras russas. Todos elementos que podem ser usados em fraudes ou golpes contra os donos dos dados comprometidos.

As críticas em relação ao funcionamento da plataforma já eram conhecidas entre a comunidade de segurança até que, em meados de abril, publicações viralizadas no Instagram e TikTok ampliaram ainda mais esses riscos. Em um desafio, influencers incentivavam sua audiência a acessar as screenshots aleatórias de qualquer pessoa, bastando alterar as letras e números da URL disponibilizada pelo serviço. O que era dado como alerta, virou piada, e se golpistas já não estavam cientes disso, passaram a estar.

Fácil de entrar, difícil de sair

Outros elementos contribuem para a aparente insegurança na utilização do Lightshot. Como dito, o download e instalação são rápidas e, em minutos, o aplicativo está configurado e pronto para ser usado. O upload da captura de tela é instantâneo, mas não é possível fazer nenhum tipo de configuração relacionada a isso, seja para impedir que a screenshot seja hospedada na nuvem da plataforma ou solicitar sua exclusão após um determinado período de tempo.

Remoção de imagens públicas pode ser solicitada pelo usuário pela exposição de informações pessoais ou exibição de cenas violentas ou sexuais; nos testes realizados pela reportagem, um pedido desse tipo passou mais de uma semana sem resposta (Imagem: Captura de tela/Felipe Demartini/Canaltech)

São duas maneiras existentes para remover uma imagem disponível desta maneira. A primeira envolve um cadastro no site do Lightshot, que somente aceita login com os serviços do Google ou Facebook. A partir do registro, o usuário passa a ter acesso a todas as imagens compartilhadas e pode realizar a exclusão imediata delas. Esse ato, entretanto, não é essencial para uso da solução nem recebe o destaque que deveria, aparecendo apenas em botões pequenos na interface,

Na segunda opção, é preciso solicitar a remoção da imagem por um botão igualmente pequeno e ofuscado com o fundo da tela, que permite reportar abusos pela exposição de dados pessoais ou exibição de conteúdo sexual ou violento. O serviço pede um e-mail, provavelmente para notificar o usuário sobre a exclusão. Nos testes feitos pelo Canaltech, um pedido de remoção de uma captura permaneceu por mais de uma semana sem resposta, seguindo no ar até o momento em que essa reportagem é publicada.

Em suas preferências, o Lightshot não traz informações relativas à segurança, como tornar imagens privadas ou configurar apagamento automático; apenas usuários com cadastro podem controlar as capturas hospedadas no sistema (Imagem: Captura de tela/Felipe Demartini/Canaltech)

A ausência de opções de segurança chama a atenção, principalmente, quando se compara o Lightshot com outros serviços semelhantes. O Imgbb, outra plataforma conhecida de compartilhamento de imagens, possui configurações de tempo para exclusão de uma imagem antes mesmo do processo de upload; enquanto o Google Fotos, que realiza a hospedagem na nuvem automaticamente, permite que o usuário escolha pastas para ficarem de fora e não deixa que os conteúdos sejam acessados publicamente, a não ser que o utilizador deseje isso e configure álbuns desta maneira.

Coleta massiva

Algumas das capturas encontradas pelo Canaltech, contendo informações pessoais, financeiras e sensíveis compartilhadas por usuários do Lightshot de forma pública (Imagem: Captura de tela/Felipe Demartini/Canaltech)

O principal risco associado à disponibilidade pública de screenshots é a obtenção, em massa, dos dados exibidos por criminosos. Basta um script simples para que as URLs sequenciais do Lightshot sejam varridas uma a uma, com as imagens sendo baixadas automaticamente por criminosos que, mais tarde, podem analisar o volume em busca de dados pessoais, credenciais e demais informações sensíveis.

“A disponibilidade pública de screenshots é muito perigosa, pois é comum que as pessoas tirem prints de coisas que querem guardar ou dados importantes”, explica Fabio Assolini, analista sênior de segurança da Kaspersky. Ele cita, por exemplo, comprovantes de pagamento, números de protocolo ou registros de transferências bancárias, imagens que, normalmente, trazem dados pessoais, informações de contato e até senhas ou números de cartão de crédito. “[Tais dados] devem ser mantidos em segredo para que não se tornem material para fraudes nas mãos dos cibercriminosos.”

Não se engane acreditando que, por se tratarem de imagens, essa coleta seria mais difícil ou lenta. Conforme explica Assolini, apps de leitura de imagens podem, rapidamente, extrair textos das capturas disponíveis publicamente e revelar as informações aos golpistas de uma forma bem mais acessível e utilizável. “Números de cartão de crédito, CPF, telefones e outros dados têm formato fixo e, por isso, seria possível [capturar tais informações].”

O sistema do Lightshot, ainda, não possui nenhum tipo de proteção contra acessos sucessivos ou repetidos, permitindo a utilização de tais sistemas automatizados. Com exceção de intermitências no acesso e eventuais lentidões no carregamento das imagens, basicamente, não há nada que impeça tal coleta e a posterior extração de dados pessoais disponíveis em screenshots públicas, quando não deveriam estar.

Golpes combinados

Criminosos usam supostos comprometimentos de credenciais de acesso a criptomoedas para aplicar golpes; transferências de valores grandes, que não existem, só acontecem mediante o pagamento de taxas ou comissões aos golpistas (Imagem: Reprodução/Kaspersky)

A popularidade do software e, também, de sua disponibilização livre de capturas de telas levou a uma segunda categoria de fraude, voltada a golpistas leigos que decidirem se aproveitar de eventuais credenciais disponibilizadas no serviço. A ideia de ter acesso livre a uma carteira de criptomoedas parece fácil demais para alguns, mas esconde uma segunda etapa de comprometimento que pode levar a perdas financeiras.

É o assunto de um alerta da Kaspersky publicado em abril, no qual os especialistas alertam sobre criminosos plantando logins e senhas para serviços baseados nessa modalidade financeira em busca de alguém que tente se achar mais esperto que os outros. As credenciais aparecem em registros de conversas comuns ou até mesmo ameaças de atentado à própria vida dos supostos usuários, quando na verdade, são a porta de entrada para um segundo tipo de golpe.

Ao acessarem os sites indicados pelos utilizadores supostamente descuidados, os golpistas sem muito conhecimento se deparam com o que seria um site real de um câmbio de criptomoedas. Ao acessarem com as credenciais, se deparam com carteiras de aparência legítima e valores de alguns milhares de dólares. Antes da transferência, porém, vem uma cobrança de comissões ou taxas para que a operação seja realizada, com custos abaixo dos US$ 100. Parece uma boa troca, mas não é.

Trata-se de um golpe que, no final das contas, leva ao envio de valores para os criminosos enquanto o dinheiro supostamente disponível, na realidade, não existe. De acordo com o levantamento da Kaspersky, até a data de publicação do alerta, cerca de US$ 6 mil em criptomoedas já tinham sido transferidos para as carteiras indicadas para recebimento das tais taxas ou comissões.

Compartilhar pode ser preciso, mas com segurança

Nas situações em que o envio de screenshots com dados pessoais ou financeiros for necessário, o ideal é fazer isso de forma direta ou utilizando serviços que tenham proteção e não disponibilizem as imagens de forma pública (Imagem: Reprodução/twenty20photos (Envato))

Eventualmente, o usuário pode, sim, se ver em uma situação na qual o compartilhamento de um comprovante, ou até mesmo de credenciais de acesso, pode ser necessário. Da mesma forma, como apontado pelo especialista da Kaspersky, capturar documentos, extratos ou outros dados sensíveis pode ser uma alternativa fácil para armazenar dados, e pode, sim, ser utilizada, desde que se tome cuidado.

“O ideal é manter tais imagens hospedadas localmente no dispositivo e não armazenadas em serviços de nuvem”, explica Assolini. Caso o envio a alguém seja necessário, a indicação é o uso de mensageiros, de forma que a captura seja compartilhada apenas com quem precisa dela, permitindo, também, que seja apagada após o uso. Ainda assim, é importante tomar cuidado, já que, uma vez enviada uma imagem, nada impede que ela seja salva pelo contato.

No caso de sistemas na nuvem, o especialista indica o uso de plataformas que ofereçam recursos de proteção, como dupla autenticação e compartilhamento criptografado, além de controles de acesso, avisos de login, prazos para apagamento automático dos dados e demais funções. “Os melhores serviços estão preocupados com a privacidade e oferecem tais [opções]. Analisar [o que] está disponível é uma boa estratégia.”

Além disso, desnecessário dizer, o ideal é que os usuários não tentem acessar contas de terceiros obtidas por meio de sistemas de compartilhamento de screenshots a não ser que tenham autorização expressa para isso. Da mesma forma, o ideal é que o usuário não clique em links recebidos por desconhecidos nem envie dinheiro para tais indivíduos, a não ser que tenha certeza absoluta do que está fazendo.

Canaltech tentou contato com os responsáveis pelo Lightshot sobre a ausência de recursos de segurança e a demora no atendimento aos pedidos de remoção, mas não recebeu resposta. A reportagem, também, enviou links de documentos pessoais e tentativas de golpe disponíveis no serviço, mas eles não haviam sido retirados do ar até a publicação.

Continue Reading
Advertisement

Relógio

Instagram Portal Informa Paraíba

Advertisement

Grupo do Portal Informa Paraíba (Facebook)

TWITTER DO PORTAL INFORMA PARAÍBA

Página do Portal Informa Paraíba (Facebook)

Politíca5 minutos ago

Murilo renova compromisso com lideranças durante atendimentos em João Pessoa e Campina

Esporte9 horas ago

Com golpes potentes, Nikolas Motta supera diferença de altura e vence no UFC Macau

Esporte10 horas ago

Botafogo-PB contrata mais um zagueiro às vésperas do início da pré-temporada

Esporte10 horas ago

F1: Russell vence e Verstappen garante o tetra em Las Vegas

Esporte10 horas ago

Ele e mais ninguém! Sinner torna-se o primeiro da história com feito incrível

CIDADE10 horas ago

‘Tardezinha do Abraço’ reúne centenas de crianças no Centro Cultural de Mangabeira

Nacional10 horas ago

Bolsonaro: “Discutir comigo um plano para matar alguém, isso nunca aconteceu”

CONCURSO E EMPREGO10 horas ago

Governo anuncia mudança no cronograma do Concurso Público Nacional Unificado: Confira as novas datas

Nacional10 horas ago

Jornalista que abriu o vídeo encenado é filho de Míriam Leitão

ENTRETENIMENTO10 horas ago

“Abriu os olhos dos brasileiros”, diz a atriz Luiza Tomé sobre Bolsonaro

ECONOMIA10 horas ago

Inflação fica maior para mais pobres com pressão de alimentos

Esporte10 horas ago

Após brilhar contra o Vasco, Garro comemora sexta vitória seguida do Corinthians

Nacional10 horas ago

Janja provoca 31 ações parlamentares contra governo Lula em uma semana

Nacional10 horas ago

Braga Netto nega que planejava trair Bolsonaro e frisa lealdade

Nacional11 horas ago

Fim do ano legislativo dispara corrida por votação de urgências na Câmara

ENTRETENIMENTO11 horas ago

4 maneiras significativas de reutilizar seu vestido de noiva

ENTRETENIMENTO11 horas ago

SALADA DE CHUCHU COM CENOURA COMO FAZER SUPER FÁCIL Receitinhas da Ben

ENTRETENIMENTO11 horas ago

Assista à árvore de Natal do Vaticano subir em 30 segundos (vídeo)

Esporte11 horas ago

Rua da Mata é a campeã da 2ª edição do Torneio das Comunidades de Futmesa

Saúde12 horas ago

Centro de Doenças Raras de João Pessoa participa de Congresso nacional nos dias 25 e 26

CONCURSO E EMPREGO12 horas ago

Sine-JP oferece 293 vagas de emprego

Judiciário12 horas ago

Tentando entender a tentativa: os alegados crimes de 15.12.2022

Nacional12 horas ago

A PEC nº 2/2003 ou PEC dos Cedidos

Nacional12 horas ago

Plano de golpe ou perseguição política? As camadas ocultas das acusações contra Bolsonaro

Segurança Pública13 horas ago

Militares presos e o salário cortado pela metade: novas regras sobre a morte ficta segundo a lei mencionada pelo Ministro da Defesa

Segurança Pública13 horas ago

Avalanche imparável de críticas desbarranca sobre o Exército em apenas 50 minutos: desafio reputacional, desconfiança e rejeição

Segurança Pública13 horas ago

Brasil tenta negociar com a Índia a troca de aeronaves de transporte militares C-390 da Embraer por caças Tejas Mk1A, para fortalecer a Força Aérea brasileira

Esporte13 horas ago

Inscrições para 3ª edição da Ultramaratona Aquática encerram próxima quarta-feira

CONCURSO E EMPREGO13 horas ago

Programa ‘Eu Posso’ abre novas inscrições para 80 empreendedores com créditos de até R$ 15 mil

Segurança Pública13 horas ago

Comissão aprova projeto que cria sistema integrado com dados de violência contra a mulher

ENTRETENIMENTO8 meses ago

Estes SINAIS mostram que a pessoa te quer, mas FINGE que não está a fim!

ECONOMIA11 meses ago

Calendário do Bolsa Família 2024: saiba quando você vai receber

AGRICULTURA & PECUÁRIA11 meses ago

Com produtor revisando tamanho da safra, 2024 inicia cercado de incertezas para a soja

Internacional11 meses ago

Secretário-geral da ONU condena atos criminosos no Equador

CONCURSO E EMPREGO11 meses ago

Carreiras em Extinção? Veja Quais Podem Sumir

Internacional11 meses ago

Fome já é generalizada em Gaza, alerta ONU

CIDADE11 meses ago

Polêmica em Princesa Isabel: Vereadores aprovam aumento salarial próprio e do Executivo

AGRICULTURA & PECUÁRIA11 meses ago

Número de IGs cresceu 60% em quatro anos no Brasil

Saúde11 meses ago

OS PRINCIPAIS LEGUMES E VERDURAS QUE AJUDAM A PREVENIR DOENÇAS CRÔNICAS

Internacional11 meses ago

Israel quer controlar e fechar fronteira entre Gaza e Egito

Educação & Cultura11 meses ago

Campina Grande entra na disputa e poderá ser escolhida para receber nova Escola de Sargentos do Exército após impasse em Pernambuco

Internacional4 meses ago

Rússia ameaça atacar capitais europeias em retaliação

Internacional11 meses ago

“Perdas, dor e angústia” após ataques aéreos marcam o início do ano na Ucrânia

CIÊNCIA & TECNOLOGIA11 meses ago

Vale a pena usar um gerador de conteúdo para redes sociais?

Nacional11 meses ago

TCU pede que ministra da Saúde pague R$ 11 milhões a cofres públicos

ENTRETENIMENTO11 meses ago

PASSEIO MOSTRA COMO É UM BORBOLETÁRIO

ENTRETENIMENTO6 meses ago

4 sinais que ela não te quer mais (e o que fazer para ter certeza)

Judiciário7 meses ago

Juízes comemoram inclusão do Judiciário entre atividades de risco

ENTRETENIMENTO9 meses ago

1º Cabedelo MotoFest: prepare-se para uma explosão de emoções na praia do Jacaré!

CIÊNCIA & TECNOLOGIA2 semanas ago

ROVER CHINÊS ENCONTRA VESTÍGIOS DE OCEANO EXTINTO EM MARTE

ESTADO12 meses ago

Energisa reúne empresas de telecomunicações para tratar sobre segurança na disposição de cabos em postes 

ENTRETENIMENTO11 meses ago

HORTÊNSIAS

Esporte6 meses ago

Viviane Pereira vence luta de estreia no último Pré-Olímpico de Boxe

ENTRETENIMENTO6 meses ago

CRIANDO LAGARTOS EXÓTICOS LEGALMENTE

ENTRETENIMENTO12 meses ago

DEZ FLORES PARA LOCAIS ENSOLARADOS

ENTRETENIMENTO12 meses ago

5 DICAS PARA SEU PINHEIRO DE NATAL DURAR MUITO MAIS

ENTRETENIMENTO5 meses ago

CHICO BUARQUE: 80 ANOS DE CRIATIVIDADE

ECONOMIA5 meses ago

PIX TERÁ OPÇÃO DE PAGAMENTO POR APROXIMAÇÃO

Segurança Pública4 semanas ago

Policiais ganham direito após anos de luta: já é possível escolher outro estado para trabalhar

Nacional4 meses ago

Manifestação em São Paulo Clama por Liberdade aos Presos Políticos e Impeachment de Alexandre de Moraes

Saúde5 dias ago

BRASILEIROS CRIAM VACINA CONTRA O CÂNCER DE PRÓSTATA

Saúde5 dias ago

SISTEMA IMUNE, MAGIA DA NATUREZA

Educação & Cultura5 dias ago

A ERA DA IA NA EDUCAÇÃO

CONCURSO E EMPREGO5 dias ago

PEC QUE ALTERA JORNADA 6X1 LEVANTA DISCUSSÃO SOBRE TEMPO DEDICADO AO TRABALHO

ENTRETENIMENTO5 dias ago

DOGUE ALEMÃO: TUDO QUE VOCÊ PRECISA SABER ANTES DE ADOTAR UM

Educação & Cultura1 semana ago

CELULAR PODE IMPACTAR EM ATÉ 40% NO DESEMPENHO ESCOLAR DAS CRIANÇAS

CONCURSO E EMPREGO1 semana ago

ESCALA 6X1: DO TIKTOK AO CONGRESSO

Saúde1 semana ago

QUANDO SUSPEITAR DE UMA INSUFICIÊNCIA CARDÍACA?

CIÊNCIA & TECNOLOGIA1 semana ago

TECIDO HUMANO NO ESPAÇO: PESQUISA DESVENDA O ENVELHECIMENTO

ENTRETENIMENTO1 semana ago

COMO REPLANTAR SAMAMBAIA EM VASO PARA TER PLANTA SAUDÁVEL

CONCURSO E EMPREGO1 semana ago

O que é CLT?

Saúde2 semanas ago

DIABETES: TUDO O QUE VOCÊ PRECISA SABER SOBRE A CONDIÇÃO

Internacional2 semanas ago

COMO FAZER PARA TRABALHAR NA ALEMANHA?

ENTRETENIMENTO2 semanas ago

COMO TRANSPLANTAR ORQUÍDEAS DO VASO PARA A ÁRVORE?

Educação & Cultura2 semanas ago

‘IDIOMA QUE FALAMOS DETERMINA COMO PENSAMOS’

ENTRETENIMENTO2 semanas ago

AS 9 RARIDADES DO CERRADO

Educação & Cultura2 semanas ago

O FUTURO DA EDUCAÇÃO (PARTE II)

Saúde2 semanas ago

NARCISISTAS, LIVRE-SE DELES

ENTRETENIMENTO2 semanas ago

PEQUENOS, COLORIDOS E MORTAIS

CIÊNCIA & TECNOLOGIA2 semanas ago

ROBÔ INTELIGENTE DESMONTA PEÇAS DE LIXO ELETRÔNICO

ECONOMIA2 semanas ago

STARTUP NO NORDESTE POTENCIALIZA ECONOMIA CIRCULAR

Saúde2 semanas ago

UTENSÍLIOS FEITOS DE PLÁSTICO PRETO PODEM TER SUBSTÂNCIAS CANCERÍGENAS

Educação & Cultura2 semanas ago

O FUTURO DA EDUCAÇÃO (PARTE I)

CIÊNCIA & TECNOLOGIA2 semanas ago

ROVER CHINÊS ENCONTRA VESTÍGIOS DE OCEANO EXTINTO EM MARTE

ENTRETENIMENTO2 semanas ago

TORTA DE MAMONA: UM SUPER ADUBO

Internacional2 semanas ago

MUNDO DEVE SUPERAR META DE 1,5°C DE AQUECIMENTO EM 2024

Internacional2 semanas ago

A verdadeira história de Donald Trump

Politíca2 semanas ago

Veneziano: Cúpula dos Parlamentos do G20 contribui para eficiência legislativa

Nacional3 semanas ago

Saiba o que é o encontro do G20, que acontece após a Cúpula dos Parlamento

ENTRETENIMENTO3 semanas ago

CRIAÇÃO DE COBRAS RARAS

Advertisement
Advertisement

Vejam também

Somos o Portal Informa Paraíba, uma empresa de marketing e portal de informações que oferece um noticioso com assuntos diversos. Nosso objetivo é fornecer conteúdo relevante e atualizado para nossos leitores, mantendo-os informados sobre os acontecimentos mais importantes. Nossa equipe é composta por profissionais experientes e apaixonados por comunicação, que trabalham incansavelmente para oferecer um serviço de qualidade. Além disso, estamos sempre em busca de novas formas de melhorar e inovar, para podermos atender às necessidades e expectativas de nossos clientes. Seja bem-vindo ao nosso mundo de informações e descubra tudo o que o Portal Informa Paraíba tem a oferecer. Fiquem bem informados acessando o Portal Informa Paraíba: www.informaparaiba.com.br