Uma dupla de hackers de Seattle comprovou aos donos do Secret que o
aplicativo não é capaz de garantir anonimato aos usuários. O que é
preocupante, visto que as pessoas recorrem ao serviço justamente para
contar segredos.
Ben Caudill, parceiro de Bryan Seely na pequena empresa de segurança Rhino Security Labs, mostrou à Wired que é bem simples descobrir as postagens de uma pessoa no Secret.
É necessário ter o e-mail do alvo, em primeiro lugar, e entender o
funcionamento do Secret: o usuário precisa ter ao menos sete amigos
inscritos no serviço para começar a ver segredos alheios. O app descobre
esses amigos vasculhando o smartphone em busca de e-mails e telefones
de outros usuários. No fim, mesmo que o dono do aparelho tenha 500
amigos, ele nunca saberá de onde vieram os segredos que ele vê, pois
estes podem vir de apenas sete pessoas.
Para quebrar essa lógica, Caudill criou sete contas falsas no Secret
usando um script (mas isso poderia ser feito manualmente), então ele
apagou os contatos de sua lista de contatos e acrescentou as contas
falsas no lugar. Por fim, incluiu o e-mail do alvo também.
Ele então criou uma outra conta e adicionou todas aquelas falsas como
seus contatos. Assim, sempre que houvesse uma postagem ele saberia que
ela veio do alvo, porque os demais contatos da sua lista de amigos eram
falsos.
Como se vê, trata-se de uma via de mão única; não é possível descobrir o autor de um segredo a partir do segredo, só o contrário: pelo e-mail, você pega as postagens do indivíduo.
David Byttow, CEO do Secret, confirmou à Wired a existência da
vulnerabilidade e disse que ela já foi bloqueada. Ainda é necessário
tomar medidas para descobrir se a técnica foi explorada de forma
significativa.
Via: olhardigital
Nenhum comentário:
Postar um comentário