Segundo relatos publicados nas redes sociais, a vulnerabilidade permitia visualizar informações de clientes cadastrados e até liberar entradas de forma indevida na academia.
Falha permitia acessar dados pessoais e fotos dos alunos
De acordo com as evidências divulgadas, a exposição ocorreu porque o equipamento responsável pelo controle de acesso da unidade estava acessível diretamente pela internet por meio de um endereço IP aberto.
A partir disso, usuários com conhecimento técnico conseguiam acessar um painel administrativo contendo dados sensíveis dos alunos.
Entre as informações potencialmente expostas estavam:
- Nome completo;
- Documentos pessoais;
- Foto de cadastro;
- Número interno de identificação do usuário;
- Tipo de matrícula;
- Histórico de acesso pela catraca;
- Horários de entrada registrados no sistema.
Além do vazamento de dados, pesquisadores demonstraram que a falha também permitiria autorizar entradas arbitrárias na unidade afetada.
Exploração foi demonstrada publicamente nas redes
O caso começou a ganhar repercussão após Clandestine publicar evidências do problema no X (antigo Twitter), incluindo uma demonstração da exposição e um pedido público para que a Smart Fit corrigisse a vulnerabilidade.
Horas depois, outro usuário, identificado como Hiago Felipe (@uphiago), compartilhou uma nova exploração mostrando um painel supostamente ligado à unidade afetada, contendo registros de alunos.
Segundo relatos online, o endereço vulnerável teria sido retirado do ar ainda na noite de segunda-feira.
Até agora, a unidade exata afetada não foi oficialmente identificada, nem há confirmação do número de usuários impactados.
Como uma simples exposição de IP virou um problema grave
Embora o termo “IP exposto” pareça técnico, o problema pode ser entendido de forma simples.
Um endereço IP funciona como um endereço digital de um equipamento conectado à internet. Em ambientes corporativos, sistemas internos normalmente ficam protegidos e acessíveis apenas por redes privadas, autenticação ou filtros de segurança.
Neste caso, o sistema da catraca teria permanecido disponível para qualquer pessoa na internet.
Na prática, isso significava que alguém poderia acessar funções normalmente restritas a funcionários autorizados.
Dependendo do nível de acesso, esse tipo de exposição pode permitir:
- Consulta de dados pessoais;
- Controle indevido de equipamentos;
- Alteração de configurações;
- Coleta massiva de informações;
- Uso dos dados em golpes digitais.
Vazamento pode facilitar fraudes e crimes físicos
O risco do incidente não se limita ao ambiente online.
Segundo especialistas, informações como nome, documento e foto podem alimentar bancos de dados usados em golpes, engenharia social e fraudes de identidade.
Além disso, como o sistema estava ligado a um ponto físico de acesso, a falha poderia abrir margem para riscos no mundo real.
Entre os cenários possíveis estão:
- Entrada indevida em unidades;
- Monitoramento de rotina de usuários;
- Tentativas de perseguição;
- Uso de informações de presença para engenharia social.
Relatos indicam que o IP apontava para a região do Viaduto do Chá, em São Paulo, área onde existem unidades da Smart Fit próximas. No entanto, a empresa não confirmou oficialmente qual academia foi afetada.
Smart Fit confirma incidente e diz que falha foi corrigida
Em resposta ao caso, a Smart Fit confirmou que houve um acesso indevido relacionado a uma unidade franqueada e informou que o problema foi resolvido rapidamente.
Segundo a companhia, não houve interrupção dos serviços.
A empresa declarou que continua investindo em melhorias de segurança da informação e reforço de seus protocolos de proteção digital.
A fornecedora do sistema de catracas, IntegraFácil IOT Solutions, também foi procurada, mas não havia se manifestado até o momento do relato.
O que a lei brasileira considera nesse caso?
Mesmo sem confirmação pública de roubo ou venda de dados, especialistas apontam que o caso pode se enquadrar como incidente de segurança envolvendo dados pessoais.
Pela Lei Geral de Proteção de Dados (LGPD), o acesso não autorizado a informações pessoais já pode caracterizar um vazamento, especialmente quando envolve dados identificáveis.
Isso significa que, ainda que a falha tenha sido corrigida rapidamente, a simples exposição de dados a terceiros pode gerar obrigações regulatórias, avaliações de risco e eventual comunicação às autoridades competentes, dependendo da gravidade do impacto.
O episódio também reforça um problema crescente no setor de segurança: dispositivos conectados — como câmeras, catracas, sensores e equipamentos de IoT — frequentemente acabam se tornando pontos frágeis quando configurados ou expostos incorretamente à internet.
