Hacker revela método de recelar identidade de usuários do Secret

Especialista descobriu um método relativamente simples de descobrir quem são os autores de cada postagem; empresa confirmou a falha e disse que já foi corrigida

iG Minas Gerais | DA REDAÇÃO |

Aplicativo
Reprodução/Secret
Aplicativo "Secret" é o destaque do momento.

 Nas últimas semanas, o aplicativo Secret vem causando muita polêmica no Brasil e entre seus usuários que se sentiram afetados pelas exposições e calúnicas. O app garante anonimato total dos usuários, mas isso foi descartado e até proibido ser ser baixado por novas pessoas, desde a última semana.

O hacker Ben Caudill relatou à Wired um método relativamente simples de descobrir quem são os autores de cada postagem. A empresa confirmou a falha e disse que já foi corrigida. Mas nesse meio tempo, os usuários que já usavam a rede social estavam expostos.

Segundo o especialista, o aplicativo tenta “camuflar a identidade de um usuário” aproveitando a multidão de outros clientes.

Entenda como funciona - Ao abrir o aplicativo é preciso dar acesso à lista de contatos antes de conseguir visualizar qualquer segredo.

Só depois de seguir pelo menos sete amigos, que não são identificados pelo Secret, o usuário consegue ver as postagens anônimas no sistema.

Para desvendar - A tática de Caudill envolvia limpar totalmente a agenda de um smartphone e deixar apenas sete e-mails falsos cadastrados. Então, caso o hacker quisesse identificar os segredos de alguém, bastaria adicionar o e-mail ou o telefone da pessoa na lista de contatos e fazer login. As únicas postagens que apareceriam marcadas como “Friend” seriam do vigiado.

Mas se a falha foi corrigida, como os segredos do Secret continuam correndo riscos? É simples: a brecha descoberta por Caudill, que é especialista e trabalha na Rhino Security Labs, foi apenas uma das já relatadas no programa de recompensas do aplicativo, aberto há seis meses.

De lá para cá, 42 brechas foram encontradas por 34 hackers éticos, e a empresa age rápido para corrigi-las. Mas apesar da eficiência, não dá para ter certeza de que não existem outras vulnerabilidades que podem comprometer o anonimato e, por isso, é sempre bom ter certo bom-senso antes de sair contado tudo.

Leia tudo sobre: Clique para inserir palavras chave