App de encontros grupais expõe dados de milhares de usuários
Por Felipe Demartini | 09 de Agosto de 2019 às 12h17
1,5 milhão de usuários do 3fun, um aplicativo de encontros grupais entre casais e solteiros, podem ter tido seus dados de localização, fotos privadas e informações pessoais expostos na internet. A falha no software foi encontrada pela Pen Test Partners, especialista em segurança digital, e foi citada como a pior vulnerabilidade já vista em uma aplicação desta categoria.
Levando em conta o teor do 3fun, é desnecessário dizer que a discrição é um de seus principais componentes. Mas esse não era o caso no manuseio de informações pessoais, com os especialistas apontando que, em vez de seguir o comportamento padrão de armazenar os dados dos usuários em servidores protegidos por criptografia, o app mantinha tais dados, principalmente a localização dos utilizadores, no próprio app.
Assim, os especialistas foram capazes de extrair tais informações a partir do cliente de acesso ao 3fun, tendo acesso até mesmo a informações que os usuários gostariam de manter privadas. O aplicativo permite a publicação de fotos “secretas” apenas para contatos aprovados, além da abertura da localização; entretanto, por meio da exploração, até mesmo tais informações poderiam ser acessadas por qualquer um com o conhecimento e as ferramentas certas.
Os dados seriam expostos caso a caso, com um invasor tendo acesso individual às informações de cada usuário. No total, o volume de dados possíveis de se obter, além das já citadas localizações e fotos, envolve datas de nascimento e orientação sexual, que também podem ser mantidos ocultos pelos utilizadores que assim desejarem.
Ainda falando sobre a discrição necessária, e apenas como forma de provar um ponto, a Pen Test Partners chegou a analisar alguns dados obtidos e encontrou usuários do 3fun que tinham a Casa Branca, a Suprema Corte dos EUA e o escritório do primeiro-ministro do Reino Unido como localizações. A empresa de segurança admite que algumas destas informações podem ser falsas, com os próprios usuários usando soluções para enganar o GPS do app, mas aponta que outros usuários que circulam por esses lugares com certeza gostariam muito de manter sua presença no software um segredo.
A 3fun foi notificada sobre a vulnerabilidade e, antes mesmo da divulgação pública, mudou seu protocolo de manipulação de informações e liberou uma atualização para todas as versões de seu aplicativo. Não existem indícios de que a brecha foi explorada por terceiros, o que também não indica que isso não pode ter acontecido, por isso a recomendação aos usuários é que mantenham olho vivo para golpes, fraudes ou tentativas de extorsão.
Em comunicado, a empresa reconheceu as falhas e disse ter dado toda a atenção à revelação assim que ela foi feita. Uma versão atualizada dos softwares do serviço foi liberada no dia 8 de julho, com o 3fun dando atenção especial à segurança das informações dos usuários, com o intuito de tornar seus produtos cada vez mais seguros.
Fonte: TechCrunch