A Amazon foi notificada sobre o armazenamento de dados roubados por três aplicativos de vigilância telefônica em seus servidores na nuvem, mas até o momento não tomou medidas para bloquear esse conteúdo. Os apps Cocospy, Spyic e Spyzie continuam enviando e armazenando informações privadas de milhões de usuários no Amazon Web Services (AWS), expondo fotos e outros dados sensíveis sem o conhecimento das vítimas.
A exposição foi descoberta por um pesquisador de segurança e relatada ao site TechCrunch, que notificou a Amazon em 20 de fevereiro e novamente em 10 de março. Apesar de a empresa afirmar que segue um “processo de revisão” para violações de suas diretrizes, até a publicação desta matéria, os buckets de armazenamento que contêm os dados roubados permanecem ativos.
Falha de segurança expõe mais de 3 milhões de usuários
Os aplicativos Cocospy, Spyic e Spyzie compartilham o mesmo código-fonte e apresentam vulnerabilidades semelhantes. Segundo o pesquisador que revelou o problema, os apps foram responsáveis pela exposição de dados de pelo menos 3,1 milhões de pessoas, muitas das quais não têm ideia de que seus dispositivos foram comprometidos.
Ao instalar os apps em um dispositivo Android virtual, o TechCrunch descobriu que eles aparecem disfarçados como “System Service” para evitar detecção. Os aplicativos capturam e enviam informações como fotos diretamente para servidores da Amazon. O site confirmou a origem dos dados ao acessar os painéis de usuário dos aplicativos, onde os operadores podem visualizar os dados roubados.
Amazon não age, apesar das evidências
Após as notificações do TechCrunch, um porta-voz da Amazon, Ryan Walsh, declarou que a empresa tem “termos claros” exigindo que os serviços sejam usados em conformidade com as leis. No entanto, ao ser questionado sobre a remoção dos dados, a empresa apenas indicou um formulário de denúncia de abuso, sem comentar sobre a ação concreta.
Outro porta-voz da Amazon, Casey McGee, afirmou que as notificações do TechCrunch não constituíam um “relatório” formal de abuso. O impasse sugere que a Amazon tem sido relutante em tomar medidas contra serviços que possam comprometer seus interesses comerciais, dado que o AWS gerou US$ 39,8 bilhões de lucro em 2024.
Consequências e riscos para os usuários
O armazenamento de dados roubados na infraestrutura da Amazon destaca falhas na moderação e na aplicação de suas próprias regras. A prática facilita a distribuição de stalkerware, um tipo de software que espiona usuários sem consentimento. Isso representa uma séria ameaça à privacidade e segurança digital, especialmente para indivíduos que podem ser alvos de abusos e perseguição.
Enquanto a Amazon continua inerte, os dados das vítimas seguem expostos. A falta de medidas concretas por parte da empresa levanta questionamentos sobre sua responsabilidade na proteção de informações hospedadas em seus servidores e sobre seu comprometimento real com a segurança digital.
