Pesquisadores da Bitsight, uma empresa de cibersegurança, identificaram mais de 40 mil câmeras de segurança privadas em todo o mundo que estão transmitindo imagens ao vivo pela internet sem proteção adequada. Essas câmeras, destinadas a proteger residências, escritórios, fábricas e até hospitais, tornaram-se, sem o conhecimento de seus proprietários, janelas públicas para espaços sensíveis. A descoberta, publicada em um relatório da Bitsight TRACE e noticiada pelo The Register, revela que o acesso à maioria desses dispositivos não exige habilidades avançadas de hacking, bastando um navegador comum e o endereço IP correto. Embora os Estados Unidos liderem com cerca de 14 mil câmeras vulneráveis, o Brasil também aparece na lista, com aproximadamente 500 dispositivos expostos. Os pesquisadores alertam, no entanto, que esses números são provavelmente apenas a ponta do iceberg.
As câmeras expostas utilizam principalmente dois protocolos: HTTP, comum em dispositivos residenciais e pequenos escritórios, e RTSP (Real-Time Streaming Protocol), usado em sistemas de vigilância comerciais para transmissão contínua de baixa latência. Segundo João Cruz, pesquisador principal da Bitsight, a facilidade de acesso se deve à falta de configurações básicas de segurança, como senhas fortes, autenticação ou criptografia. Em muitos casos, os dispositivos mantêm credenciais padrão de fábrica ou têm interfaces administrativas expostas diretamente na internet. “Basta um navegador e um endereço IP correto para visualizar as imagens ao vivo”, afirmou Cruz em um post no blog da Bitsight. A empresa conduziu varreduras em toda a internet para identificar essas vulnerabilidades, encontrando câmeras em mais de 100 países, com Japão, Áustria, República Tcheca e Coreia do Sul também entre os mais afetados.
Nos Estados Unidos, estados como Califórnia, Texas, Geórgia e Illinois concentram o maior número de câmeras expostas. No Brasil, embora o número de 500 dispositivos seja menor, os riscos são igualmente graves, especialmente em ambientes residenciais e comerciais. A análise da Bitsight revelou câmeras monitorando desde portas de entrada e quintais até salas de estar, escritórios com quadros brancos contendo informações confidenciais, linhas de produção em fábricas e até quartos de hospital. Um caso particularmente alarmante envolveu uma câmera em um caixa eletrônico, que permitia visualizar os PINs digitados pelos usuários, facilitando fraudes. Outro exemplo incluiu câmeras em transportes públicos, como bondes, expondo passageiros sem seu consentimento.
Os riscos vão além da invasão de privacidade. A Bitsight identificou discussões em fóruns da dark web onde criminosos compartilham endereços IP de câmeras expostas, vendem acesso a feeds ao vivo e trocam ferramentas para explorar esses dispositivos. “Isso não é hipotético, está acontecendo agora”, alertou a equipe de inteligência de ameaças cibernéticas da Bitsight, conforme reportado pela SecurityWeek. As câmeras também podem ser usadas para espionagem corporativa, mapeamento de pontos cegos em instalações sensíveis, como data centers, ou até para planejar crimes físicos, como furtos em lojas de joias ou invasões residenciais. Em 2025, o Departamento de Segurança Interna dos EUA (DHS) emitiu um alerta sobre o uso potencial dessas câmeras em campanhas de espionagem chinesa, destacando preocupações de segurança nacional.
A transparência do estudo é reforçada pelo fato de que a Bitsight evitou técnicas invasivas, limitando-se a acessar capturas de tela de feeds públicos usando endpoints conhecidos, como “/out.jpg” ou caminhos RTSP padrão. No entanto, os pesquisadores reconhecem limitações: identificar fabricantes e modelos específicos de câmeras RTSP é mais difícil devido à falta de informações nos cabeçalhos dos servidores, o que pode subestimar o número total de dispositivos vulneráveis. Além disso, algumas câmeras expostas intencionalmente, como aquelas que transmitem praias ou ninhos de pássaros, foram excluídas da contagem de risco.
O problema não é novo. A Bitsight já havia alertado sobre câmeras expostas em 2023, mas a situação não melhorou significativamente. Fatores como a facilidade de instalação de dispositivos IoT (Internet das Coisas), muitas vezes plug-and-play, e a falta de conscientização dos usuários contribuem para a persistência da vulnerabilidade. Muitos dispositivos são vendidos por fabricantes que priorizam conveniência em detrimento da segurança, com configurações padrão que ativam o acesso remoto via UPnP (Universal Plug and Play), contornando firewalls. Além disso, a ausência de atualizações regulares de firmware deixa brechas conhecidas sem correção.
Para mitigar os riscos, a Bitsight recomenda ações imediatas: alterar senhas padrão para credenciais fortes, desativar o acesso remoto se não for necessário, manter o firmware atualizado, usar firewalls ou VPNs para restringir o acesso e monitorar atividades incomuns, como tentativas de login não autorizadas. Organizações devem auditar dispositivos conectados e garantir que apenas pessoal autorizado acesse os feeds. A empresa também oferece ferramentas, como o vetor de risco “Portas Abertas” em seu portal, para ajudar a identificar exposições.
Embora o relatório da Bitsight seja baseado em dados primários coletados por sua infraestrutura de varredura Groma, algumas questões permanecem. Não está claro quantas câmeras no Brasil pertencem a residências versus empresas, nem quais setores são mais afetados localmente. Além disso, a falta de acesso público ao relatório completo limita a verificação independente de todos os detalhes. Mesmo assim, as descobertas foram corroboradas por fontes confiáveis, como The Register e SecurityWeek, reforçando a gravidade do problema.
O que você acha dessa vulnerabilidade em câmeras de segurança? Já tomou medidas para proteger seus dispositivos conectados? Deixe sua opinião nos comentários e compartilhe suas experiências!
Fontes: The Register, Bitsight, SecurityWeek, TechCrunch.