Clone do Snapchat pode expor dados de usuários

Cyberware-MarketingHOMEMobilidadeSegurança

O Puff Chat, que se oferece como uma alternativa segura ao Snapchat, foi apontado como um dos aplicativos mais inseguros no mercado, pois não apaga nada do que é enviado e tem tantas brechas de segurança que facilmente um invasor pode se apoderar de dados e contas de usuários. O britânico Thomas Hedderwick, que é

O Puff Chat, que se oferece como uma alternativa segura ao Snapchat, foi apontado como um dos aplicativos mais inseguros no mercado, pois não apaga nada do que é enviado e tem tantas brechas de segurança que facilmente um invasor pode se apoderar de dados e contas de usuários.

puffchat

O britânico Thomas Hedderwick, que é hacker e presta consultoria de segurança, divulgou em seu blog a descoberta da falha de segurança, que começa logo no cadastro para uso do serviço.

Endereços de e-mail, senhas e datas de nascimento são enviados aos servidores do aplicativo pelo protocolo HTTP, e não por HTTPS, deixando-os abertos para qualquer um com mínimo conhecimento de protocolos de internet.

Uma simples busca pelo código da página do serviço expõe as informações completas de login, sem nem ao menos ser necessário usar ferramentas de programação. Basta abrir pelo próprio navegador. Para demonstrar a gravidade da falha, o especialista tomou o controle da conta CEO da companhia, Michael Suppo, conseguindo enviar mensagens e fotos.

Hedderwick também descobriu pelo código que as fotos e mensagens não são apagadas de verdade, como alega o serviço. Isso coloca em xeque a premissa básica do Puffchat: “[O conteúdo] é baixado no seu telefone toda vez que você solicita suas mensagens, o cliente apenas não as mostra para você”, como é descrito no site. As fotos, inclusive as que trazem material explícito, podem até ser acessadas no site da empresa.

O hacker tentou entrar em contato com a empresa, mas foi ignorado diversas vezes. Só então ele publicou em seu blog sobre a vulnerabilidade.

A resposta da empresa foi a pior possível. Michael Suppo ameaçou processar Hedderwick caso os textos citando sua companhia não forem deletados. Ainda assim, o executivo prometeu corrigir as falhas do app.


Clique para ler a bio do autor  Clique para fechar a bio do autor