Falha de segurança expõe todos os segredos do Secret

Por Redação | 22 de Agosto de 2014 às 12h29

Uma das grandes promessas do Secret é o anonimato, justamente o motivo que levou tanta gente a usar o aplicativo – nem sempre com fins benéficos, o que acabou levando até mesmo à sua proibição no Brasil. Mas, agora, um hacker entrevistado pela revista Wired diz ter descoberto um método garantido para descobrir o autor de qualquer postagem na rede. E o “melhor” de tudo: não se trata de um grande sistema ou invasão, mas de uma maneira que pode ser utilizada por qualquer pessoa.

Uma das exigências para que qualquer pessoa possa usar o Secret e ter acesso às postagens dos amigos é que ele libere o acesso à lista de contatos do celular ou, então, à conta do Facebook. É preciso que pelo menos sete conhecidos estejam usando o app para que o uso da ferramenta seja liberado desta maneira. E é aí que está o X da questão.

Ben Caudill, o responsável pela descoberta, disse ter usado scripts para criar 50 e-mails falsos e, na sequência, o mesmo número de contas no Secret. Em seguida, ele adicionou sete delas em seu celular e pediu que o jornalista da Wired, Kevin Poulsen, realizasse um post e passasse seu e-mail cadastrado, que também foi registrado no celular. Um novo perfil na rede social foi criado e, após as verificações rotineiras, a mágica aconteceu.

Apesar de ter, efetivamente, oito conhecidos utilizando o aplicativo, apenas um era “de verdade”: o próprio jornalista. Todas as outras contas estavam sob controle do hacker e não tinham nenhuma postagem. Assim, sempre que uma mensagem de um "Amigo" aparecia na tela, ele sabia que o responsável era a pessoa em questão.

Os resultados da descoberta foram demonstrados ao vivo, diante de Poulsen. Quando a brecha foi passada ao CEO do Secret, David Byttow, o mesmo processo foi feito como prova de que o problema realmente existia. Com sucesso, Caudill descobriu a postagem do executivo sobre seu cachorro, garantindo por A mais B que a falha realmente existe e pode ser explorada por qualquer pessoa.

A sorte do aplicativo é que, nesse caso, o problema foi descoberto por um “hacker do bem”, os chamados white hats. A empresa confirmou o problema e disse já ter bloqueado sua utilização, além de estar buscando soluções para ele. Além disso, confirmou que não existem indícios de uso malicioso da descoberta, já que ela serviria apenas para revelar o anonimato dos usuários e não daria acesso a bancos de dados ou informações de registro.

Desde sua fundação, o Secret conta com um programa de recompensas, que premia com dinheiro os responsáveis pela revelação de falhas de segurança. Segundo a rede social, até agora 42 falhas de segurança no sistema já foram descobertas por 38 especialistas, todas já resolvidas ou, então, bloqueadas enquanto os engenheiros trabalham para solucioná-las.

A Wired questiona tais alegações, afirmando que a promessa de anonimato, na verdade, é falsa e que muita gente com o conhecimento suficiente já teria obtido acesso a segredos escabrosos das pessoas. Os perigos aqui vão além do vazamento de informações e podem envolver também demissões, divórcios e todo tipo de problemas pessoais.

Byttow responde às alegações com outra pergunta: “se o Secret não existisse, em que lugar as pessoas buscariam esse tipo de catarse?”. Segundo ele, o grande objetivo é fazer com que os usuários não se sintam sozinhos com seus problemas e possam falar sobre eles em um ambiente seguro e protegido. No Facebook e mostrando o rosto, isso nunca seria possível. Daí a ideia do aplicativo, que garante o anonimato na mesma medida em que mantém o utilizador ao lado dos amigos.

Mas para o hacker, isso simplesmente não é possível. Manter o anonimato ao mesmo tempo em que conecta o usuário com gente conhecida é uma conta que simplesmente não fecha. "É como tentar comer um bolo sem fazer com que ele desapareça", conclui.

Fique por dentro do mundo da tecnologia!

Inscreva-se em nossa newsletter e receba diariamente as notícias por e-mail.