Anonimato de usuários no Secret é facilmente quebrado

O app Secret, que foi proibido no Brasil nesta semana e removido da App Store, se envolveu em mais problemas: a quebra do anonimato de seus usuários.

A notícia, publicada inicialmente pela Wired, diz que dois hackers chamados Ben Caudill e  Bryan Seely, que são “do bem” e trabalham numa empresa de segurança nos EUA, conseguiram explorar uma falha no aplicativo que faz com que, ao escolher o email de um usuário, se consegue ver os segredos compartilhados por ele.

Caudill explicou para o site como o processo foi feito – e usa bem mais lógica que conhecimentos em programação.

Ele criou sete contas falsas no Secret e apagou todos os contatos de seu telefone. Então, adicionou esses sete emails utilizados para criar fakes no app como contatos e o email da pessoa cujos segredos gostaria de saber. Depois, foi só fazer um novo login e autorizar o aplicativo e buscar em sua lista de contatos os amigos que estivessem no app.

Como somente um dos emails realmente tinha postado qualquer coisa, tudo que aparecer na tela pertence à pessoa.

Caudill revelou até um segredo do CEO da empresa: Is Lucy the cutest dog?. Não é nada de comprometedor, mas sabemos que há segredos mais pesados compartilhados por lá, com quê de desabafo; algo que você não admitiria para ninguém, conta só no Secret. Como fica a privacidade dessas pessoas?

O Secret diz que já tinha conhecimento dessa falha, afirmando que um grupo russo já a havia detectado (o Não Salvo também já tinha), e que trabalha para detectar cada vez melhor os bots. Quando uma atividade suspeita é encontrada, ele troca a origem do segredo para “amigo de amigo” ou “no seu círculo”.

Não é a primeira vez que o Secret tem que agir para corrigir falhas de segurança, mas o surpreendente é o quanto ele tem que agir: desde fevereiro, 42 bugs foram descobertos.

Fica a prova daquilo que a gente já sabe: ninguém é totalmente anônimo na internet.

Leia | Como ver os Stories do Instagram anonimamente pelo PC ou celular