App de confissões Whisper vaza dados de 900 milhões de posts “secretos”
Por Rafael Arbulu | 16 de Março de 2020 às 13h38
Você se lembra do Whisper? Aquele aplicativo para smartphones cujo serviço era o de postar “confissões” às pessoas sem que você se identificasse? Lançado em 2012, o app foi bastante popular em seu início, até se envolver em questões duvidosas de privacidade no segundo semestre de 2014.
E tal qual há seis anos, o Whisper está de volta às manchetes por mais ou menos o mesmo motivo: ainda que ele não goze da popularidade de outrora, o app ainda segue em funcionamento, e um recente vazamento — cortesia de uma base de dados sem nenhuma proteção — acabou expondo os metadados de 900 milhões de posts anteriormente tidos como anônimos.
A história foi publicada pelo jornal americano The Washington Post, que assegura que, até o momento, não há nomes expressamente revelados, mas informações como idade, gênero, apelido, afiliações a grupos online, cidade natal, raça e apelido vazem parte do vazamento. O problema aqui parece estar concentrado na parte do “afiliações a grupos online”, já que, no caso do Whisper, a maioria desses grupos é de cunho sexual e contém confissões íntimas de usuários — não apenas fetiches, como se pode esperar, mas coisas mais intensas, como por exemplo aberturas sobre a própria sexualidade. De posse de todas essas informações, é perfeitamente possível levantar o autor ou autora por trás de um post por meio de engenharia social reversa.
A vulnerabilidade foi descoberta por Dan Ehrlich e Matthew Porter, dois pesquisadores a serviço da empresa de segurança digital Twelve Security. Em um post publicado no blog da empresa em 11 de março, os especialistas dizem que os posts afetados atravessam os anos de funcionamento do app, indo de 2012 até os mais recentes. No mesmo post, Ehrlich acusou os funcionários da Medialab — empresa dona do Whisper — de serem espiões a serviço do governo chinês, e que o vazamento das informações acima já está sendo usado como moeda de barganha em chantagens contra funcionários do governo norte-americano.
Evidentemente, as acusações não tiveram sua validade comprovada pelo The Washington Post, mas os pesquisadores apontam para um caso anterior envolvendo o app, coberto inclusive pelo Canaltech, quando outro jornal — o Guardian — revelou que o Whisper tinha a capacidade de rastrear a localização de um usuário em tempo real e, com isso, determinar de onde veio cada post. Testes feitos pelo jornal britânico em 2014 mostraram que os gestores do app tinham acesso às localidades dos posts feitos até mesmo dentro do Pentágono, nos EUA. Segundo Ehrlich, esse recurso permite até mesmo identificar certos edifícios de onde posts possam ter sido originados, como escolas ou prédios públicos.
A vantagem é que as informações vazadas estavam publicamente exibidas nas páginas do Whisper — tanto via app como em seu site no desktop —, então não eram exatamente “secretas”. E como prontamente não há forma de identificar o usuário por elas (engenharia social reversa leva tempo para ser conduzida e os resultados podem variar), a única ressalva digna de atenção é a questão da geolocalização precisa empregada pelo app. É importante citar, porém, que, em seu auge, o Whisper era amplamente usado por adolescentes. Já hoje, uma visita rápida nas avaliações de usuário do app via Play Store indica que ele se tornou um ponto majoritariamente dominado por “homens tarados, contas fake e prostitutas divulgando serviços”.
A base de dados problemática foi removida no dia 9 de março, quando o The Washington Post entrou em contato com os gestores do Whisper, comunicando o problema.
Fonte: The Washington Post