O Criador de um Aplicativo de Encontros Gay é Multado após Divulgar Fotos Particulares

Os desenvolvedores de software e os provedores de serviços on-line devem ser responsabilizados quando não protegem os dados dos usuários? Claro que deveriam. Isso está acontecendo no mundo real? Bem, a Online Buddies, Inc., fabricante do Jack'd, um aplicativo de namoro voltado principalmente para homens gays e bissexuais, agora será forçada a pagar US $240 mil ao Estado de Nova York porque seu aplicativo acabou vazando fotos e informações pessoais de alguns de seus usuários. Portanto, existem fornecedores que pagam por seus erros. Mas eles estão pagando o preço certo? Vamos dar uma olhada no caso do Online Buddies e descobrir.

Um Design Lamentavelmente Inseguro

A falha de segurança estava enraizada no design do aplicativo de namoro. Como qualquer outro serviço desse tipo, o Jack'd permite que os usuários enviem fotos após se inscreverem em uma conta. Há fotos públicas e privadas. Os públicos não devem conter nudez e são visíveis para qualquer pessoa que esteja visualizando o perfil do usuário. Jack'd não impõe restrições sobre o quão explícitas são as fotos privadas. Fundamentalmente, a menos que sejam compartilhadas com outros usuários de Jack'd, as fotos privadas permanecem acessíveis apenas ao proprietário. Pelo menos é o que dizia a interface do aplicativo.

Depois de espiar sob o capô do aplicativo, o pesquisador de segurança Oliver Hough descobriu que as fotos públicas e privadas foram enviadas para o mesmo bucket do Amazon S3 e, momentos depois, ele percebeu que o bucket em questão não estava protegido por nenhum tipo de senha. Em outras palavras, as fotos privadas dos usuários de Jack'd eram visíveis não apenas para outras pessoas que haviam baixado o aplicativo. Eles eram acessíveis a qualquer pessoa que tivesse um navegador e soubesse onde procurar. Previsivelmente, muitas das fotos privadas eram de natureza extremamente íntima, e seus proprietários provavelmente teriam pensado duas vezes antes de enviá-las se soubessem que as estavam expondo ao mundo inteiro.

De acordo com a Ars Technica, todas as fotos receberam um número seqüencial, o que tornou ainda mais fácil o download de um grande acervo de fotos. O comunicado à imprensa do procurador-geral de Nova York diz que alguns dados pessoais (ID do dispositivo, localização e informações sobre o uso de aplicativos) também vazaram e, quando relatou a violação pela primeira vez, o The Register observou que, embora seja difícil vincular fotos específicas a identidades mundiais, "suposições educadas" são possíveis.

O Desenvolvedor do Jack'd Enterrou a Cabeça na Areia e a Manteve Lá por Quase um Ano

Falando em The Register, ele foi a primeira publicação on-line a relatar o problema. Ele fez isso em fevereiro, depois que Oliver Hough entrou em contato. Naquela época, o próprio Hough havia passado doze meses tentando entrar em contato com o Online Buddies e contar ao fornecedor de software o que estava acontecendo. Infelizmente, todas as suas tentativas de divulgar o bug de forma responsável e ajudar na resolução não tiveram êxito.

A Ars Technica e o The Register também tentaram entrar em contato com o criador de Jack'd, mas mesmo eles não conseguiram extrair algumas informações específicas, como o que estava sendo feito para solucionar o problema e quanto tempo levaria. Eles mantiveram a história em sigilo por um tempo, na esperança de que os Online Buddies finalmente entrem em ação, mas no final, o The Register decidiu que mantê-la em segredo é igualmente arriscado para os usuários inocentes cujas fotos vazavam. Milagrosamente ou não, alguns dias após o The Register dar a notícia, o buraco estava entupido e os dados estavam protegidos.

Este é o maior problema. Atualmente, o armazenamento em nuvem mal configurado é um dos motivos mais comuns para vazamento de dados e os erros são cometidos por grandes e pequenos fornecedores de software. É crucial lidar com o problema de maneira rápida e eficiente assim que for descoberto, e é evidente que os Amigos Online não fizeram isso.

Tendo em conta a sensibilidade dos dados que vazaram, deixaremos a você decidir se a multa de US $240 mil é uma punição justa.