- Hacker(s) encontraram vulnerabilidades em câmeras baby monitor e dispositivos de segurança da Meari Technology, permitindo acesso remoto sem senha a vídeos e dados.
- Fotos de dezenas de milhares de câmeras estavam armazenadas em servidores públicos da Alibaba, sem proteção, facilitando a exibição de imagens sem autenticação.
- Foi descoberto um servidor interno com senhas, credenciais e lista com 678 empregados, incluindo seus e-mails e números de telefone.
- A empresa reconheceu riscos de violação em mensagens transmitidas pela plataforma IoT EMQX e potencial execução remota de código devido a fraquezas de senhas, e resortou o EMQX para bloquear o acesso remoto.
- Ações tomadas: desligamento da plataforma EMQX, troca de nomes de usuário e senhas e recomendação de atualização de firmware; ainda não está claro quantos dispositivos e marcas foram afetados ou se houve exploração prévia.
A verificação de segurança envolvendo câmeras Wi-Fi de bebês da empresa Meari Technology expôs falhas graves que permitiam acesso remoto a milhões de dispositivos. Hackers podiam visualizar imagens, ler mensagens e obter dados de cadastros sem senha, através de uma mesma plataforma compartilhada. A falha afetou câmeras de várias marcas que utilizavam o sistema CloudEdge da empresa.
Quem está envolvido: a Meari Technology admite vulnerabilidades em sua infraestrutura EMQX e em práticas de senha fracas, além de ter recebido relatos de pesquisadores independentes sobre o risco de execução de código remoto. O pesquisador Azdoufal relatou ter encontrado servidores internos expostos com credenciais, além de uma lista com contatos de quase 700 funcionários.
Quando e onde ocorreu: as falhas ficaram conhecidas entre março e abril de 2026, com ações tomadas pela Meari em 10 de março para restrição de acesso e correção de falhas. A verificação envolveu equipamentos vendidos mundialmente, incluindo muitos dispositivos no Brasil, com fabricantes parceiros citados em testes.
Por quê: a arquitetura compartilhada entre marcas permitia que qualquer câmera acessasse outra, por meio de credenciais comuns em servidores da empresa. Em resposta, a Meari desativou a plataforma EMQX, alterou credenciais e orientou atualizações de firmware, alegando que apenas versões antigas tinham risco.
Desdobramentos e próximos passos: a empresa não forneceu números oficiais de câmeras vulneráveis nem informações sobre avisos aos clientes. Pesquisadores seguiram com a abertura de vulnerabilidades identificadas, incluindo registros CVE. Em paralelo, autoridades e parlamentares investigam eventual impacto em consumidores.
Impacto aos usuários: segundo o pesquisador, muitos dispositivos ainda dependem de atualizações que podem não alcançar todos os aparelhos, deixando potenciais vítimas sem proteção. Questionamentos sobre responsabilidade de parceiros e comunicação de riscos permanecem sem resposta.
Contexto regulatório e mercado: alguns fabricantes passaram a anunciar câmeras sem Wi-Fi, com transmissão de curto alcance, como alternativa mais resistente a intrusões remotas. Especialistas lembram que não há garantia completa de segurança apenas pela ausência de conectividade.
Entre na conversa da comunidade