True, o app que garante privacidade, expõe dados dos usuários

True, rede social que promete “proteger a privacidade”, expõe mensagens privadas e localização de usuários.

True, o app que garante privacidade, expõe os dados dos usuários
Foto: (reprodução/internet)

Mas um lapso de segurança deixou um de seus servidores expostos – e espalhando dados de usuários particulares para a internet para que qualquer pessoa pudesse encontrá-los.

O aplicativo foi lançado em 2017 pelo Hello Mobile, uma operadora de celular virtual pouco conhecida que se afasta da rede da T-Mobile. O site da True diz que levantou US$ 14 milhões em fundos, e teve mais de meio milhão de usuários logo após seu lançamento.

Mas um painel para um dos bancos de dados do aplicativo foi exposto à Internet sem uma senha, permitindo que qualquer pessoa pudesse ler, navegar e pesquisar o banco de dados – incluindo dados de usuários particulares.

O que o True App diz

Mossab Hussein, diretor de segurança da empresa de segurança cibernética SpiderSilk, com sede em Dubai, encontrou o painel exposto e forneceu detalhes para o site TechCrunch. Os dados fornecidos pela BinaryEdge, um mecanismo de busca de bancos de dados e dispositivos expostos, mostraram que o painel de controle foi exposto desde pelo menos o início de setembro.

Bret Cox, chefe executivo da True, confirmou a falha de segurança, mas não respondeu perguntas, incluindo se a empresa planejava informar os usuários ou se planejava revelar o incidente aos reguladores nacionais que estabelecem as leis de segurança de dados.

Leia também: Google remove aplicativos Android para crianças, sob violações de coleta de dados

O painel de controle continha logs diários do servidor datados de fevereiro, e incluía o endereço de e-mail ou número de telefone registrado do usuário, o conteúdo de mensagens e posts privados entre usuários e a última geolocalização conhecida do usuário, que podia identificar onde o usuário estava ou tinha estado.

O painel também expunha os contatos de e-mail e telefone carregados pelo usuário, que  True usa para combinar com amigos conhecidos no aplicativo.

Nenhum dos dados foi criptografado

O painel de controle também expôs códigos de login únicos, que o app True envia para o endereço de e-mail ou número de telefone associado a uma conta, em vez de armazenar senhas.

True diz que excluir uma conta “removerá imediatamente todo o seu conteúdo de nossos servidores”, mas em um teste que o Tech Crunch realizou, o site não excluiu a conta teste e não removeu mensagens privadas, posts e fotos, e todo o conteúdo ainda podia ser pesquisado no painel de controle.

Leia mais: Hackers iranianos tentam roubar informações de conferência de segurança, diz Microsoft

“Este é outro exemplo de como os erros podem acontecer em qualquer organização, mesmo aqueles que são centrados na privacidade”, disse Hussein à TechCrunch.

“Ele destaca a importância não apenas de construir aplicativos e websites seguros, mas também de garantir que medidas adequadas de segurança de dados sejam incorporadas em seus procedimentos internos”.

Um porta-voz do Hello Mobile não pôde ser contatado.

Traduzido e adaptado por equipe Revolução.etc.br

Fontes: Tech Crunch, CISION, BinaryEdge