- Plataformas de aluguel usadas por imobiliárias na Austrália expõem documentos pessoais de inquilinos e proprietários por meio de hyperlinks acessíveis online.
- Uma análise de sete plataformas de aluguel, fornecidas a Guardian Australia por um pesquisador que pediu anonimato, aponta que milhões de documentos podem ser acessados por agentes mal-intencionados.
- Os dados vão desde contratos de locação até referências pessoais, comprovantes de renda e identidades, acessíveis sem necessidade de login, apenas com a URL.
- Em alguns casos, basta alterar números na URL ou usar encurtadores de links para obter acesso; uma vez dentro, é possível encontrar histórico de aluguel e outros documentos do proprietário.
- Empresas analisadas disseram ter revisado as falhas e, em alguns casos, implementaram melhorias, como links com expiração automática, requisitos adicionais de segurança e confirmação de código postal; autoridades são monitoradas pela OAIC, que afirma não ter recebido notificações de violação dessas plataformas.
Os agentes imobiliários na Austrália utilizam aplicativos que armazenam documentos de locação, mas as ligações para esses arquivos podem ficar expostas online. Essa conclusão vem da análise de sete plataformas de aluguel fornecida a Guardian Australia por um pesquisador que pediu anon.
Os documentos guardados pelos agentes incluem contratos, comprovantes de renda, documentos de identificação e referências. Ao armazenar em nuvem, as plataformas geram links que permitem acessar os arquivos sem login, abrindo caminho para possíveis invasões.
A investigação mostrou que esses links podem ser rastreados por robôs da web e armazenados em cache. A Guardian Australia verificou seis exemplos de contratos e referências disponíveis online, mesmo com URLs parcialmente mascaradas.
Vulnerabilidades detectadas e respostas das plataformas
O pesquisador revelou que, ao enviar aos inquilinos, as URLs podem ser alteradas apenas mudando números, facilitando o acesso não autorizado. Alguns documentos datam de 2017, com códigos de convite antigos que teriam chegado a milhões de usos.
Um caso específico mostrou que o uso de encurtadores de URL permitiu acesso a contratos, e a autenticação era obtida via cookie, abrindo o histórico inteiro do locador. O acesso ocorre sem login direto nesses exemplos.
A plataforma Inspection Express afirmou ter revisado o acesso a links de documentos e adotado melhorias neste mês, após o alerta apresentado no ano passado. A empresa disse ainda que as informações não ficam indexadas na web aberta.
Outras plataformas também adotaram medidas, como exigir que o usuário informe o código postal antes de abrir o documento. Diversas organizações não responderam aos pedidos de comentário.
Samantha Floreani, defensora de direitos digitais, sintetizou o risco: privacidade e segurança são comprometidas, com benefícios aos inquilinos questionáveis. Ela aponta que a dependência dessas plataformas aumenta a exposição de dados.
A OAIC, órgão regulador, afirmou não ter recebido notificações de vazamentos pelas plataformas até o momento. O porta-voz destacou que a exigência de dados por plataformas de aluguel é uma prioridade de atuação neste ano.
Entre na conversa da comunidade