Whisper, um aplicativo de mídia social que promete anonimato, expõe 900 milhões de registros de usuários

A diferença entre o Whisper e as plataformas de mídia social mais convencionais, como o Facebook ou o Twitter, é que você não precisa inserir nenhuma informação pessoal para usá-la. Em vez disso, basta escolher um nome de usuário, indicar qual a sua idade e compartilhar livremente seus pensamentos. Por ser uma rede social, outras pessoas os veem, mas não têm idéia de quem os escreveu.

O Whisper deixou 900 milhões de registros de usuários em um banco de dados desprotegido

Por causa do anonimato prometido, os usuários são encorajados a postar coisas que normalmente evitariam divulgar e são informados de que, usando o Whisper, estão compartilhando seus segredos mais profundos no "lugar mais seguro da Internet". É uma afirmação ousada que soa um pouco estranha quando você considera que o site oficial do aplicativo é carregado por HTTP em vez de HTTPS por padrão. Fica ainda mais estranho quando você percebe que o mesmo aplicativo deixou um banco de dados com nada menos que 900 milhões de registros de usuários expostos à Internet.

A descoberta foi feita na semana passada por pesquisadores da Twelve Security. O cluster Elasticsearch de 5 TB estava acessível a qualquer pessoa conectada à Internet, não estava protegido por senha e algumas das informações contidas nele datam do lançamento do Whisper em 2012.

A exposição de dados foi tão séria?

Logo após descobrir o banco de dados, os especialistas de Twelve contataram o FBI e o The Washington Post. O Post os ajudou a entrar em contato com o MediaLab, o desenvolvedor do aplicativo, e na segunda-feira, o banco de dados foi colocado offline. Apesar da reação relativamente rápida, o MediaLab argumentou que não há nada muito preocupante com o vazamento.

De acordo com representantes que falaram com o Washington Post, os usuários decidiram compartilhar a maioria dos dados no aplicativo Whisper de qualquer maneira, o que significava que, embora não devesse acontecer, a exposição não era um problema tão grande. Eles estavam conversando sobre os milhões de postagens de usuários que vazaram, e seu argumento era que o vazamento não colocava o anonimato dos usuários em perigo imediato. Os especialistas em segurança, no entanto, não tinham tanta certeza.

O banco de dados com vazamento não possuía nomes, mas continha a idade, o sexo, a cidade natal, o apelido e as associações declaradas pelos usuários individuais. Se alguém tentasse descobrir a identidade de um usuário do Whisper, esses dados poderiam reduzir significativamente as possibilidades. Junte isso ao fato de que o último local conhecido dos usuários afetados também foi revelado e você verá que amarrar uma postagem vazada a um indivíduo real estava longe de ser impossível. Após o relatório do The Post, o The Register também entrou em contato com os pesquisadores e percebeu que a gama de metadados expostos era ainda maior do que o inicialmente previsto. Acontece que os tokens de senha também foram incluídos no banco de dados, e os pesquisadores confirmaram que, ao usá-los, eles poderiam acessar as contas das pessoas. De repente, o problema parecia muito maior do que os representantes da MediaLab acreditavam. Para aqueles que seguem as notícias do aplicativo Whisper de perto, isso pode ser um momento de déjà vu.

Esta não é a primeira controvérsia relacionada à segurança em torno do Whisper

Em 2014, os repórteres do Guardian foram convidados ao QG da Whisper para discutir uma possível parceria entre o veículo de notícias e o aplicativo de mídia social. Enquanto estavam lá, eles descobriram que o Whisper tinha mecanismos para rastrear a localização das pessoas, mesmo quando os usuários optavam explicitamente por não fazer isso.

Após a divulgação do relatório, representantes da rede social negaram todas as alegações e acusaram publicamente o jornal britânico de publicar mentiras. Eventualmente, os referidos representantes foram demitidos e o rastreamento foi aparentemente interrompido.

No momento, os funcionários da MediaLab estão mais uma vez tentando convencer o público de que as coisas não são tão ruins quanto as notícias sugerem e, infelizmente, temos que dizer que eles não fizeram o suficiente para nos garantir que isso é mais do que apenas uma tentativa para subestimar a seriedade da situação.