COMPORTAMENTO
23/08/2014 11:01 -03 | Atualizado 26/01/2017 21:52 -02

É possível descobrir quem postou no Secret? Hacker encontra método simples de revelar identidade de usuários

Divulgação/Secret

O aplicativo Secret foi cercado de polêmicas no Brasil especialmente por garantir anonimato total aos usuários.

Mas, aparentemente, os segredos compartilhados no app podem não ser tão secretos assim: o hacker Ben Caudill relatou à Wired um método relativamente simples de descobrir quem são os autores de cada postagem – e é apenas uma das várias falhas que já foram encontradas no app.

Confirmada pela empresa e já corrigida, a falha tirava proveito do conceito de anonimato do próprio Secret. O app tenta “camuflar a identidade de um usuário” aproveitando a multidão de outros clientes, como explica a reportagem do também hacker Kevin Poulsen.

Quem usa o aplicativo já deve saber, mas, ao abri-lo, é preciso dar acesso à lista de contatos antes de conseguir visualizar qualquer segredo (a brecha não afetava usuários que conectavam o app apenas ao Facebook).

E só depois de seguir pelo menos sete amigos, que não são identificados pelo app, você conseguirá ver as postagens anônimas no sistema, segundo o texto. É o mesmo conceito relatado em um blog de humor brasileiro recentemente.

A tática de Caudill envolvia limpar totalmente a agenda de um smartphone e deixar apenas sete e-mails falsos cadastrados nela. Então, caso o hacker quisesse identificar os segredos de alguém, bastaria adicionar o e-mail ou o telefone da pessoa na lista de contatos e fazer login – as únicas postagens que apareceriam marcadas como “Friend” seriam do vigiado.

Mas se a falha foi corrigida, como os segredos do Secret continuam correndo riscos? É simples: a brecha descoberta por Caudill – que é especialista e trabalha na Rhino Security Labs – foi apenas uma das já relatadas no programa de recompensas do app, aberto há seis meses.

De lá para cá, 42 brechas foram encontradas por 34 hackers éticos, e a empresa age rápido para corrigi-las. Mas apesar da eficiência, não dá para ter certeza de que não existem outras vulnerabilidades que podem comprometer o anonimato – e por isso é sempre bom ter certo bom-senso antes de sair contado tudo.

LEIA MAIS

- Depois de ser proibido, Secret usa ciência para atualizar aplicativo e impedir bullying

- Diretora do Secret diz que é contra a proibição do app no Brasil: 'Vai restringir liberdade de expressão'

- Secret proibido: Justiça manda retirar o aplicativo das lojas online de todo o Brasil em dez dias

via: