True, rede social que promete “proteger a privacidade”, expõe mensagens privadas e localização de usuários.
Mas um lapso de segurança deixou um de seus servidores expostos – e espalhando dados de usuários particulares para a internet para que qualquer pessoa pudesse encontrá-los.
O aplicativo foi lançado em 2017 pelo Hello Mobile, uma operadora de celular virtual pouco conhecida que se afasta da rede da T-Mobile. O site da True diz que levantou US$ 14 milhões em fundos, e teve mais de meio milhão de usuários logo após seu lançamento.
Mas um painel para um dos bancos de dados do aplicativo foi exposto à Internet sem uma senha, permitindo que qualquer pessoa pudesse ler, navegar e pesquisar o banco de dados – incluindo dados de usuários particulares.
O que o True App diz
Mossab Hussein, diretor de segurança da empresa de segurança cibernética SpiderSilk, com sede em Dubai, encontrou o painel exposto e forneceu detalhes para o site TechCrunch. Os dados fornecidos pela BinaryEdge, um mecanismo de busca de bancos de dados e dispositivos expostos, mostraram que o painel de controle foi exposto desde pelo menos o início de setembro.
Bret Cox, chefe executivo da True, confirmou a falha de segurança, mas não respondeu perguntas, incluindo se a empresa planejava informar os usuários ou se planejava revelar o incidente aos reguladores nacionais que estabelecem as leis de segurança de dados.
Leia também: Google remove aplicativos Android para crianças, sob violações de coleta de dados
O painel de controle continha logs diários do servidor datados de fevereiro, e incluía o endereço de e-mail ou número de telefone registrado do usuário, o conteúdo de mensagens e posts privados entre usuários e a última geolocalização conhecida do usuário, que podia identificar onde o usuário estava ou tinha estado.
O painel também expunha os contatos de e-mail e telefone carregados pelo usuário, que True usa para combinar com amigos conhecidos no aplicativo.
Nenhum dos dados foi criptografado
O painel de controle também expôs códigos de login únicos, que o app True envia para o endereço de e-mail ou número de telefone associado a uma conta, em vez de armazenar senhas.
True diz que excluir uma conta “removerá imediatamente todo o seu conteúdo de nossos servidores”, mas em um teste que o Tech Crunch realizou, o site não excluiu a conta teste e não removeu mensagens privadas, posts e fotos, e todo o conteúdo ainda podia ser pesquisado no painel de controle.
Leia mais: Hackers iranianos tentam roubar informações de conferência de segurança, diz Microsoft
“Este é outro exemplo de como os erros podem acontecer em qualquer organização, mesmo aqueles que são centrados na privacidade”, disse Hussein à TechCrunch.
“Ele destaca a importância não apenas de construir aplicativos e websites seguros, mas também de garantir que medidas adequadas de segurança de dados sejam incorporadas em seus procedimentos internos”.
Um porta-voz do Hello Mobile não pôde ser contatado.
Traduzido e adaptado por equipe Revolução.etc.br
Fontes: Tech Crunch, CISION, BinaryEdge
