Uma das aplicações que mais sucesso teve recentemente, muito por culpa do que oferece, foi o Secret. Este serviço de mensagens anónimas em que os utilizadores podem revelar os seus segredos aos seus contactos sem que estes saibam qual é a fonte cativou muitos.
Mas a capa de anonimato que o Secret fornece afinal pode não ser tão real e é até bastante simples descobrir as mensagens secretas de um determinado contacto.
Esta descoberta não é nova e permite que um qualquer atacante possa saber qual a origem de um segredo colocado no Secret. Apenas necessita de ter acesso ao endereço de email da pessoa que quer monitorizar e criar um conjunto, reduzido, de contas fantasma.
A técnica foi mostrada por um white hacker e mostra ser relativamente simples de executar, bastando alguns minutos para que possa ser visto o segredo partilhado.
Para que possamos começar receber segredos dos nossos contactos existe um limite mínimo de sete dos nossos contactos pertencerem também ao Secret.
Foi com base neste vector que o ataque foi feito, ao serem criadas sete contas falsas, todas ligadas ao Secret, e por fim adicionado o email da pessoa que queremos controlar.
A partir desse momento todas as mensagens que vierem dessa rede de contactos são apresentadas e, por exclusão, as únicas mensagens que recebemos são do contacto que queremos visar. Naturalmente que as contas fantasmas não vão emitir qualquer segredo e assim é simples entender a origem.
Naturalmente que a equipa do Secret tem este bug já a ser analisado e tratado para que estas situações não aconteçam.
Como o acesso ao Secret é anónimo e não requer qualquer validação quer do email ou do número de telefone, estas situações são simples de executar.
Mas estas situações estão previstas dentro da rede do Secret, ao terem bots próprios que detectam estas contas falsas, não as eliminado, mas alterado a origem das mensagens, passando de “Amigos” para “Amigos de Amigos” ou de “Conhecidos”.
Aparentemente o seu ressurgimento veio de uma falha da própria rede do Secret que deixou de controlar os seus bots para procurar contas fantasma e com propósitos menos claros.
Esta descoberta surgiu no seguimento de um programa de caça a possíveis bugs que o Secret possa ter, e que foi iniciado pela própria empresa, com vista a tornarem o seu serviço e as suas aplicações ainda mais seguras e o mais anónimas possíveis.
Fica no entanto a eterna dúvida. Será que estes serviço que prometem a anonimização dos utilizadores e dos conteúdos que publicam estão realmente a cumprir ou devem os utilizadores manterem algum grau de desconfiança e não partilharem tudo o que pensam sob uma falsa capa de protecção e anonimato?