Uma falha de segurança em um repositório VoIP da Hello Gym, empresa especializada em comunicação para academias, expôs mais de 1,6 milhão de mensagens de voz e ligações telefônicas de clientes.
Revelado pelo pesquisador Jeremiah Fowler, o incidente destaca uma nova vulnerabilidade: a clonagem de voz por inteligência artificial. A falta de criptografia e segurança nesse repositório permitiu o acesso público a gravações que abrangem o período de 2020 a 2025, contendo desde dúvidas sobre treinos até informações altamente sensíveis. Nomes, números de telefone, motivos de contato e, em alguns casos, senhas, endereços e códigos de segurança física foram revelados.
O problema se agrava com o avanço das tecnologias de IA, como o VALL-E-2 da Microsoft, capaz de recriar vozes humanas realistas a partir de apenas três segundos de áudio. Cada uma das vozes vazadas pode ter sido já clonada e usada em golpes sofisticados de engenharia social.
A clonagem de voz já está sendo usada em ataques reais. Instituições financeiras relatam tentativas de acesso a contas usando clones de voz, pais recebem ligações falsas de sequestro com a voz do próprio filho e empresas sofrem roubos com deepfakes de executivos.
A voz, diferente de senhas ou cartões de crédito, é um dado biométrico insubstituível. Uma vez exposta, a identidade sonora de uma pessoa pode ser usada para fins criminosos de forma permanente.
A violação na Hello Gym demonstra a fragilidade de dados biométricos e a importância de medidas de segurança robustas. A criptografia de ponta a ponta, testes de vulnerabilidade regulares, segregação de dados sensíveis e gestão de riscos de terceiros são essenciais para proteger a voz de cada indivíduo.
A era em que a voz era uma garantia de identidade ao telefone chegou ao fim. A clonagem de voz representa uma ameaça real e crescente, exigindo atenção e cuidado por parte de empresas e indivíduos para evitar que suas vozes sejam usadas contra eles.
