Rede social focada em privacidade True sofreu um sério Vazamento de informações depois que um servidor contendo dados privados do usuário foi exposto online.
Lançada em 2017, a empresa tem um compromisso com a privacidade do usuário e promete nunca vender ou compartilhar dados do usuário, mas parece que um problema de segurança quebrou seu compromisso.
De acordo com a empresa de segurança SpiderSilk, um erro de configuração significa que o banco de dados pode ser lido e navegado por qualquer pessoa, o que não é protegido por senha ou criptografado.
Diz-se que o servidor contém informações como endereços de e-mail do usuário, números de telefone, mensagens privadas e dados de localização, mas também tokens de acesso à conta que podem ser usados para sequestrar contas de usuário.
Violação de dados verdadeira
Vários testes conduzidos pela SpiderSilk mostraram que os dados expostos online podem ser usados para assumir o controle de contas e postar mensagens no feed da vítima, mas também que as alegações de retenção de dados de True podem não ser válidas.
De acordo com a rede social, a exclusão de uma conta “removerá imediatamente todo o seu conteúdo de nossos servidores”, mas um teste realizado em conjunto com TechCrunch revelou que não era esse o caso.
Os dados anexados a uma conta fictícia, incluindo mensagens privadas, postagens e fotos, ainda estavam acessíveis por meio do banco de dados exposto após a exclusão.
Mossab Hussein, CSO da SpiderSilk, estava inclinado a dar à empresa o benefício da dúvida; Soluços de segurança e erros de retenção de dados desse tipo são comuns e muitas vezes não intencionais.
“Este é outro exemplo de como erros podem acontecer em qualquer organização, mesmo aquelas que se concentram na privacidade”, disse ele.
“Ele enfatiza a importância de não apenas criar sites e aplicativos seguros, mas também garantir que medidas de segurança de dados apropriadas sejam incorporadas a seus procedimentos internos.”
O verdadeiro CEO, Bret Cox, reconheceu o incidente e o servidor ofensivo foi removido, mas a empresa ainda não divulgou um comunicado oficial.
