Pesquisadores da Bitsight, uma empresa de cibersegurança, identificaram mais de 40 mil cĂąmeras de segurança privadas em todo o mundo que estĂŁo transmitindo imagens ao vivo pela internet sem proteção adequada. Essas cĂąmeras, destinadas a proteger residĂȘncias, escritĂłrios, fĂĄbricas e atĂ© hospitais, tornaram-se, sem o conhecimento de seus proprietĂĄrios, janelas pĂșblicas para espaços sensĂveis. A descoberta, publicada em um relatĂłrio da Bitsight TRACE e noticiada pelo The Register, revela que o acesso Ă maioria desses dispositivos nĂŁo exige habilidades avançadas de hacking, bastando um navegador comum e o endereço IP correto. Embora os Estados Unidos liderem com cerca de 14 mil cĂąmeras vulnerĂĄveis, o Brasil tambĂ©m aparece na lista, com aproximadamente 500 dispositivos expostos. Os pesquisadores alertam, no entanto, que esses nĂșmeros sĂŁo provavelmente apenas a ponta do iceberg.
As cĂąmeras expostas utilizam principalmente dois protocolos: HTTP, comum em dispositivos residenciais e pequenos escritĂłrios, e RTSP (Real-Time Streaming Protocol), usado em sistemas de vigilĂąncia comerciais para transmissĂŁo contĂnua de baixa latĂȘncia. Segundo JoĂŁo Cruz, pesquisador principal da Bitsight, a facilidade de acesso se deve Ă falta de configuraçÔes bĂĄsicas de segurança, como senhas fortes, autenticação ou criptografia. Em muitos casos, os dispositivos mantĂȘm credenciais padrĂŁo de fĂĄbrica ou tĂȘm interfaces administrativas expostas diretamente na internet. âBasta um navegador e um endereço IP correto para visualizar as imagens ao vivoâ, afirmou Cruz em um post no blog da Bitsight. A empresa conduziu varreduras em toda a internet para identificar essas vulnerabilidades, encontrando cĂąmeras em mais de 100 paĂses, com JapĂŁo, Ăustria, RepĂșblica Tcheca e Coreia do Sul tambĂ©m entre os mais afetados.
Nos Estados Unidos, estados como CalifĂłrnia, Texas, GeĂłrgia e Illinois concentram o maior nĂșmero de cĂąmeras expostas. No Brasil, embora o nĂșmero de 500 dispositivos seja menor, os riscos sĂŁo igualmente graves, especialmente em ambientes residenciais e comerciais. A anĂĄlise da Bitsight revelou cĂąmeras monitorando desde portas de entrada e quintais atĂ© salas de estar, escritĂłrios com quadros brancos contendo informaçÔes confidenciais, linhas de produção em fĂĄbricas e atĂ© quartos de hospital. Um caso particularmente alarmante envolveu uma cĂąmera em um caixa eletrĂŽnico, que permitia visualizar os PINs digitados pelos usuĂĄrios, facilitando fraudes. Outro exemplo incluiu cĂąmeras em transportes pĂșblicos, como bondes, expondo passageiros sem seu consentimento.
Os riscos vĂŁo alĂ©m da invasĂŁo de privacidade. A Bitsight identificou discussĂ”es em fĂłruns da dark web onde criminosos compartilham endereços IP de cĂąmeras expostas, vendem acesso a feeds ao vivo e trocam ferramentas para explorar esses dispositivos. âIsso nĂŁo Ă© hipotĂ©tico, estĂĄ acontecendo agoraâ, alertou a equipe de inteligĂȘncia de ameaças cibernĂ©ticas da Bitsight, conforme reportado pela SecurityWeek. As cĂąmeras tambĂ©m podem ser usadas para espionagem corporativa, mapeamento de pontos cegos em instalaçÔes sensĂveis, como data centers, ou atĂ© para planejar crimes fĂsicos, como furtos em lojas de joias ou invasĂ”es residenciais. Em 2025, o Departamento de Segurança Interna dos EUA (DHS) emitiu um alerta sobre o uso potencial dessas cĂąmeras em campanhas de espionagem chinesa, destacando preocupaçÔes de segurança nacional.
A transparĂȘncia do estudo Ă© reforçada pelo fato de que a Bitsight evitou tĂ©cnicas invasivas, limitando-se a acessar capturas de tela de feeds pĂșblicos usando endpoints conhecidos, como â/out.jpgâ ou caminhos RTSP padrĂŁo. No entanto, os pesquisadores reconhecem limitaçÔes: identificar fabricantes e modelos especĂficos de cĂąmeras RTSP Ă© mais difĂcil devido Ă falta de informaçÔes nos cabeçalhos dos servidores, o que pode subestimar o nĂșmero total de dispositivos vulnerĂĄveis. AlĂ©m disso, algumas cĂąmeras expostas intencionalmente, como aquelas que transmitem praias ou ninhos de pĂĄssaros, foram excluĂdas da contagem de risco.
O problema nĂŁo Ă© novo. A Bitsight jĂĄ havia alertado sobre cĂąmeras expostas em 2023, mas a situação nĂŁo melhorou significativamente. Fatores como a facilidade de instalação de dispositivos IoT (Internet das Coisas), muitas vezes plug-and-play, e a falta de conscientização dos usuĂĄrios contribuem para a persistĂȘncia da vulnerabilidade. Muitos dispositivos sĂŁo vendidos por fabricantes que priorizam conveniĂȘncia em detrimento da segurança, com configuraçÔes padrĂŁo que ativam o acesso remoto via UPnP (Universal Plug and Play), contornando firewalls. AlĂ©m disso, a ausĂȘncia de atualizaçÔes regulares de firmware deixa brechas conhecidas sem correção.
Para mitigar os riscos, a Bitsight recomenda açÔes imediatas: alterar senhas padrĂŁo para credenciais fortes, desativar o acesso remoto se nĂŁo for necessĂĄrio, manter o firmware atualizado, usar firewalls ou VPNs para restringir o acesso e monitorar atividades incomuns, como tentativas de login nĂŁo autorizadas. OrganizaçÔes devem auditar dispositivos conectados e garantir que apenas pessoal autorizado acesse os feeds. A empresa tambĂ©m oferece ferramentas, como o vetor de risco âPortas Abertasâ em seu portal, para ajudar a identificar exposiçÔes.
Embora o relatĂłrio da Bitsight seja baseado em dados primĂĄrios coletados por sua infraestrutura de varredura Groma, algumas questĂ”es permanecem. NĂŁo estĂĄ claro quantas cĂąmeras no Brasil pertencem a residĂȘncias versus empresas, nem quais setores sĂŁo mais afetados localmente. AlĂ©m disso, a falta de acesso pĂșblico ao relatĂłrio completo limita a verificação independente de todos os detalhes. Mesmo assim, as descobertas foram corroboradas por fontes confiĂĄveis, como The Register e SecurityWeek, reforçando a gravidade do problema.
O que vocĂȘ acha dessa vulnerabilidade em cĂąmeras de segurança? JĂĄ tomou medidas para proteger seus dispositivos conectados? Deixe sua opiniĂŁo nos comentĂĄrios e compartilhe suas experiĂȘncias!
Fontes: The Register, Bitsight, SecurityWeek, TechCrunch.