Benjamin Caudill e Bryan Seely conseguiram, com apenas o e-mail de outro usuário, revelar suas publicações na rede anônima Segredos.
O que começou como um teste aleatório acabou revelando uma mensagem postada pelo próprio CEO of Secret, David Byttow. A notícia sai exatamente no mesmo dia que o aplicativo é proibido no brasil.
A proposta deste aplicativo é poder revelando fofocas e confissões pessoais que você não pode reconhecer ou simplesmente não pode divulgar. Removendo o ética subjacente Nesta aplicação, eles descobriram que Caudill e Seely poderiam, dirigindo e-mail ou número de telefone de qualquer usuário secreto, revelar identidade em todas as suas postagens.
Felizmente para os usuários do Secret, Caudill e Seely disponibilizaram os detalhes da vulnerabilidade para o Secret. O CEO da Secret, David Byttow, confirmou a vulnerabilidade, e disse que a empresa bloqueou o sistema de ataque e eles começaram uma reavaliação do sistema. «Até onde sabemos, esta vulnerabilidade não foi explorada de forma significativa, »Diz Byttow. «Mas ainda temos que tomar medidas para determinar o escopo. "
«Conforme os hackers revelam esses tipos de vulnerabilidades por meio de nosso programa de recompensas HackerOnenós apenas fazemos mais e mais progressos ”, diz Byttow. «Nós tínhamos zero incidentes públicos relacionados à segurança e privacidade. Tudo veio por meio de nosso programa de recompensas ".
Como funciona o segredo
O segredo é baseado no anonimato da multidão para camuflar as identidades de seus usuários. Quando ele é instalado pela primeira vez, você não pode ver as mensagens de seu círculo social até conceder acesso à lista de contatos do telefone. Em seguida, o aplicativo verifica todos os endereços de e-mail e números de telefone da lista de usuários do Secret e você começa a segui-los.
Você deve estar seguindo pelo menos sete amigos antes que você possa ver suas mensagens anônimas. Mesmo assim, você não sabe quem são os contatos que estão usando o aplicativo. O problema é que a agenda está sob seu controle. E é isso que Caudill e Seely usam a seu favor.
O truque
O primeiro passo de Caudill foi criar um grupo de contas secretas falsas. Então isso deletar lista de contatos do iPhone, e eles adicionam os sete endereços de e-mail falsos como contatos. Ao terminar, você adiciona o endereço de email da pessoa cujos segredos você deseja descobrir.
Então a conta é feita em Secret e você só tem que espera, Qualquer mensagem que você não coloque com suas contas falsas ou autênticas, foi enviada por outra pessoa.
Então você pode obter os segredos de alguém se souber o endereço de e-mail, mas nãoou você pode inserir o segredo e desmascarar o usuário por trás de uma mensagem específica.
O que não pode ser é isso, chamando-se "Segredo", assim que entra pede um email para se cadastrar e acessar a agenda do telefone. Ele ainda dá a opção de registrar com o número de telefone. Com todos estes elementos, a aplicação, de «Segredo», tem pouco.
Você não pode descrever com mais clareza….
Obrigado por comentar !
Ele precisa do meu e-mail e da minha lista telefônica para começar a usá-lo, qual é o segredo disso? Já estou colocando um nome e uma cara nos meus segredos para os desenvolvedores, e então coisas assim acontecem ...
Como faço para criar contas falsas?