Sarahah se apropria de lista de contatos de usuários
De acordo com um analista de segurança, o aplicativo fazia o upload de informações privadas durante a instalação em seu smartphone
O aplicativo de mensagens anônimas Sarahah, um dos campeões de download, pode se apropriar da lista de contato dos usuários. O alerta foi feito por Zachary Julian, analista da consultoria de segurança da informação Bishop Fox, para o site The Intercept.
Julian descobriu que o Sarahah fazia o upload de informações privadas durante a instalação em seu smartphone, que estava equipado com um programa de monitoramento chamado Burp Suite.
De acordo com Julian, o smartphone transmite todos os contatos de e-mail e telefone armazenados para o aplicativo, tanto no Android quanto no iOS. Segundo o analista, se o usuário fica um tempo sem entrar na sua conta, o app volta a pegar os dados no momento do acesso.
Depois do alerta feito pelo analista, o criador do Sarahah, Zain al-Abidin Tawfiq, foi até o Twitter para esclarecer o assunto.
“O app Sarahah pedia os contatos para uma função planejada de ‘encontre os seus amigos’. Esta função foi adiada por uma falha técnica. O banco de dados atualmente não hospeda contatos e o pedido de dados será removido na próxima atualização”, escreveu Tawfiq.
Em entrevista para o The Intercept, Drew Porter, fundador da empresa de segurança Red Mesa, alertou sobre os problemas em fornecer os dados do smartphone para o aplicativo.
“Acho preocupante, principalmente porque as informações às quais a empresa pode ter acesso podem ser consideradas muito íntimas por outras pessoas, e não se sabe nada sobre a segurança da empresa que as obteve. Já vimos isso antes com aplicativos muito populares, vazamentos de informação acontecem e são devastadores para essas empresas“, disse.
No Sarahah, o usuário pode criar um perfil e enviar mensagens anonimamente a amigos e até desconhecidos. A premissa é que a pessoa será mais honesta ao fazer uma crítica sem que o receptor da mensagem saiba quem ele é.
É necessário criar uma conta com e-mail e nome de usuário para mandar e receber mensagens. Ao entrar na rede social, basta buscar o nome da pessoa para então fazer o comentário. Não é possível fazer buscas por e-mail ou por rede social, tampouco responder aos recados respondidos.
Caso queira, o usuário poderá bloquear a pessoa que fez um comentário, de modo que ela só poderá dar um novo feedback para tal usuário se criar outra conta. O aplicativo funciona nos mesmos moldes do Secret, que também permitia o envio de mensagens anônimas, mas foi encerrado em 2015 por estimular o cyberbullying.
O Sarahah chegou a ficar na primeira colocação do ranking de downloads do iOS nos Estados Unidos, à frente de grandes aplicativos, como Instagram, Youtube e Facebook.