Talvez seja o maior dos medos dos narcisistas ao redor do mundo: as confissões, informações privadas e segredos compartilhados pelo popular app Secret não são secretas. O Secret não é secreto de verdade.

A proposta do Secret é de que seus usuários façam revelações se aproveitando do anonimato do app. No Brasil as coisas não vão muito bem para ele, e um tribunal do Espírito Santo decidiu que ele deve não apenas ser retirado das lojas de apps, como também remotamente apagado dos smartphones.



Enquanto isso, uma dupla de pesquisadores de segurança – Benjamin Caudill e Bryan Seely – descobriu recentemente um hack que permite identificar o usuário por trás da mensagem supostamente anônima do Secret. Com bons hackers white hat que são, eles explicaram ao Secret qual era a vulnerabilidade, e o Secret disse ter consertado o problema. Mas o simples fato de que foi possível – e de maneira simples – revelar quem postou cada coisa é algo bem preocupante, e levanta questionamentos sobre a segurança do app como um todo. E vale lembrar que não é a primeira vez que o Secret sofre com problemas de segurança.

O hack era relativamente simples. O Secret mostra apenas um fluxo dos seus amigos e amigos de amigos, caso mais de oito dos seus amigos usem o app. No entanto, a empresa não conseguia contabilizar os bots, e Caudill e Seely criaram um usando um script simples. Assim que eles carregam várias contas falsas, eles se conectam a um amigo e observam o fluxo de mensagens. Os bots não postam, então qualquer coisa que aparece no feed vem daquele amigo. Fim do anonimato! A dupla conseguiu identificar com sucesso diversas pessoas e seus segredos, incluindo o fundador do serviço David Byttow.

É um truque besta, e o surpreendente é que funcionou. O hack não consegue identificar o usuário por trás de cada um dos segredos, mas mostra como o suposto anonimato do app não se mantém após alguns hacks inteligentes. Essa falha aparentemente já foi consertada, mas não sabemos o que mais de errado pode aparecer nos códigos do Secret. [Forbes]