Brechas de segurança ameaçam anonimato de usuários no Secret

Hacker encontrou um método relativamente simples de descobrir quem são os autores de cada postagem

São Paulo – O aplicativo Secret foi cercado de polêmicas no Brasil especialmente por garantir anonimato total aos usuários.

Mas, aparentemente, os segredos compartilhados no app podem não ser tão secretos assim: o hacker Ben Caudill relatou à Wired um método relativamente simples de descobrir quem são os autores de cada postagem – e é apenas uma das várias falhas que já foram encontradas no app.

Confirmada pela empresa e já corrigida, a falha tirava proveito do conceito de anonimato do próprio Secret. O app tenta “camuflar a identidade de um usuário” aproveitando a multidão de outros clientes, como explica a reportagem do também hacker Kevin Poulsen.

Quem usa o aplicativo já deve saber, mas, ao abri-lo, é preciso dar acesso à lista de contatos antes de conseguir visualizar qualquer segredo (a brecha não afetava usuários que conectavam o app apenas ao Facebook).

E só depois de seguir pelo menos sete amigos, que não são identificados pelo app, você conseguirá ver as postagens anônimas no sistema, segundo o texto. É o mesmo conceito relatado em um blog de humor brasileiro recentemente.

A tática de Caudill envolvia limpar totalmente a agenda de um smartphone e deixar apenas sete e-mails falsos cadastrados nela. Então, caso o hacker quisesse identificar os segredos de alguém, bastaria adicionar o e-mail ou o telefone da pessoa na lista de contatos e fazer login – as únicas postagens que apareceriam marcadas como “Friend” seriam do vigiado.

Mas se a falha foi corrigida, como os segredos do Secret continuam correndo riscos? É simples: a brecha descoberta por Caudill – que é especialista e trabalha na Rhino Security Labs – foi apenas uma das já relatadas no programa de recompensas do app, aberto há seis meses.

De lá para cá, 42 brechas foram encontradas por 34 hackers éticos, e a empresa age rápido para corrigi-las. Mas apesar da eficiência, não dá para ter certeza de que não existem outras vulnerabilidades que podem comprometer o anonimato – e por isso é sempre bom ter certo bom-senso antes de sair contado tudo.

Apoie a Exame, por favor desabilite seu Adblock.