Benjamin Caudill y Bryan Seely han conseguido, con tan solo el correo electrónico de otro usuario, desvelar sus publicaciones en la red anónima Secrets.
Lo que se inició como un test aleatorio resultó desvelando un mensaje puesto por el mismísimo CEO de Secret, David Byttow. La noticia sale justo el mismo día que la aplicación es vetada en Brasil.
La propuesta de esta aplicación es la de poder desvelar chismes y confesiones personales que no puedes reconocer o simplemente no puedes divulgar. Quitando la ética que subyace en esta aplicación, se han encontrado con que Caudill y Seely podrían, mediante la dirección de correo electrónico o el número de teléfono de cualquier usuario de Secret, desvelar la identidad en todos sus post.
Afortunadamente para los usuarios de Secret, Caudill y Seely ha puesto a disposición de Secret los detalles de la vulnerabilidad. El CEO de Secret, David Byttow, confirmó la vulnerabilidad, y dijo que la compañía ha bloqueado el sistema de ataque y han comenzado una revaluación del sistema. «Hasta donde podemos decir, esta vulnerabilidad no ha sido explotada de una manera significativa,» dice Byttow. «Pero aún tenemos que tomar medidas para determinar el alcance.»
«A medida que los hackers revelan este tipo de vulnerabilidades a través de nuestro programa de recompensas HackerOne, sólo hacemos más y más avances», dice Byttow. «Hemos tenido cero incidentes públicos con respecto a la seguridad y la privacidad. Todo ha llegado a través de nuestro programa de recompensas «.
Funcionamiento de Secret
Secret se basa en el anonimato de la multitud para camuflar las identidades de sus usuarios. Cuando se instala por primera, no puedes ver los mensajes de tu círculo social hasta que le des el acceso a la lista de contactos del teléfono. Después la aplicación comprueba todas las direcciones de correo electrónico y números de teléfono en la lista de usuarios de Secret, y empiezas a seguirlos.
Debes estar siguiendo al menos siete amigos antes de poder ver sus mensajes anónimos. Incluso entonces, no sabes quienes son los contactos que están usando la app. El problema es que la agenda está bajo su control. Y eso es lo Caudill y Seely utilizan para su beneficio.
El truco
El primer paso de Caudill fue crear un grupo de cuentas secretas falsas. A continuación, se elimina la lista de contactos del iPhone, y se añaden las siete direcciones de correo electrónico falsas como contactos. Cuando terminas, añades la dirección de correo electrónico de la persona cuyos secretos quieres enterarte.
Después se hace la cuenta en Secret y solo hay que esperar, cualquier mensaje que no pongas tu con tus cuentas falsas o la auténtica, la ha puesto la otra persona.
Luego puedes obtener los secretos de alguien si sabes su dirección de correo electrónico, pero no puedes entrar en Secret y desenmascarar el usuario detrás de un mensaje concreto.
4 comentarios, deja el tuyo
Lo que no puede ser es que, llamándose «Secret», nada más entrar pida un correo para registrarse, y acceso a la agenda del teléfono. Incluso da la opción de darse de alta con el número de teléfono. Con todos estos elementos, la aplicación, de «Secret», tiene poco.
No puedes describirlo más claramente ….
Gracias por comentar !
Necesita mi correo y mi agenda telefónica para empezar a usarse, ¿qué tiene ésto de secreto?, ya de por sí estoy poniendo nombre y cara a mis secretos de cara a los desarrolladores, y después ocurren cosas como éstas…
como creo las cuentas falsas?