Sapphos, Tinder lésbico do Brasil, tem falha de segurança grave e é tirado do ar

O Sapphos, um aplicativo de relacionamento exclusivo para mulheres e desenvolvido por uma equipe totalmente feminina, foi retirado do ar após apenas 48 horas de funcionamento — isso ocorreu após um internauta descobrir uma falha de segurança grave, permitindo acesso a dados pessoais e até documentos das mulheres cadastradas.

• Falha de segurança no Android atingiu app com 1 bilhão de instalações
• Atualize o seu WhatsApp! Falha de segurança grave é corrigida em nova versão

As responsáveis pelo app sáfico admitiram a falha em suas redes sociais e apagaram o aplicativo das lojas do Android e iOS, também afirmando que deletaram todos os dados das usuárias e prosseguirão com reembolsos das assinaturas já pagas, com valores que chegavam a até R$ 500 no plano anual.

A promessa é de que o aplicativo será refeito do zero, cobrindo os problemas de segurança do incidente e possíveis outros.

O Canaltech está no WhatsApp!Entre no canal e acompanhe notícias e dicas de tecnologia

WhatsApp

Ascensão e queda do Sapphos

A derrocada do aplicativo feminino aconteceu na segunda-feira (8), quando a conta @acgfbr, no X (antigo Twitter), mostrou conseguir acessar os dados das usuárias, relatando a falha de maneira a informar a equipe sem usar as informações de maneira mal-intencionada. O problema, especificamente, era do tipo IDOR — Insecure Direct Object Reference —, quando o sistema deixa expostos identificadores diretos, como números de identificação ou nomes de arquivos sem verificar se quem solicita o dado tem permissão para acessá-lo.

O aplicativo tinha, como requisito no cadastro, a apresentação de documento pessoal com foto, devendo ser mostrado junto ao rosto da usuária numa fotografia. A verificação era feita manualmente para evitar falhas de identificação. Com a falha de segurança, era possível verificar os dados de todas as usuárias e suas fotos, incluindo CPF e data de nascimento, por exemplo.

A versão do Sapphos lançada ainda estava em versão beta, segundo as devs responsáveis, e não teve os dados propriamente vazados, mas apenas indevidamente acessados pelo usuário @acgfbr. A base de dados foi apagada e boletins de ocorrência na Delegacia de Crimes Cibernéticos e Delegacia da Mulher foram abertos; agora, as responsáveis buscam expandir a equipe para desenvolver um aplicativo mais seguro do zero.

Não é mais possível encontrar o Sapphos nas lojas de aplicativos online e reembolsos para as assinantes foram realizados, com comprovantes sendo enviados por e-mail para todas as envolvidas. Em comunicados nas redes sociais, a equipe ressalta que nenhuma foto de documento da etapa de verificação foi acessada.

Até 17 mil usuárias chegaram a usar o aplicativo; segundo as responsáveis, a prioridade é e sempre será a comunidade, sendo a motivação para temporariamente retirar o app do ar.

Leia também:

• Falha de segurança de chatbots de IA revela segredos íntimos dos usuários
• Microsoft corrige falha de segurança grave da IA Copilot; entenda o caso
• Chrome corrige falha de segurança crítica usada para espionagem; atualize agora

VÍDEO | WhatsApp Sendo ESPIONADO Sem Você Saber! 😱