O aplicativo de confissões Secret já deu o que falar. Já foi revelado que a equipe de desenvolvedores tem a identidade de cada usuário, e os casos de cyberbullying levaram à proibição do app no Brasil, e consequentemente, à sua remoção da App Store da Apple e Google Play do Google. Agora, usando nada mais do que lógica, o hacker americano Ben Caudill descobriu como identificar a pessoa por trás dos segredos. 

A boa notícia é que Caudill é o co-fundador de uma empresa de segurança em Seattle, nos EUA, chamada Rhino Security Labs., e já avisou à equipe do Secret da falha. Falando ao site Wired, Caudill e o chefe de tecnologia da Rhino, Bryan Seeley - que este ano descobriu como manipular o Google Maps para interceptar ligações do FBI - explicaram como funciona o hack, que não envolve nenhum código e é surpreendentemente simples.

O Secret sincroniza sua conta com seus contatos no celular, e adiciona os que também estiverem registrados no app como amigos. Não é possível descobrir quem são eles, então se houverem 150 pessoas na lista de contatos e apenas 12 amigos no Secret, identificá-los é impossível. O que Caudill e e Seeley perceberam é que como a lista de contatos do celular está sob total controle do usuário, há uma forma de enganar o aplicativo.

Caudill criou várias contas falsas de e-mail e as registrou no Secret, pois para usar o app, é necessário ter pelo menos sete amigos. Ele então deletou todos os contatos de seu iPhone e adicionou apenas as sete contas falsas e por mim, o e-mail da pessoa que ele queria espionar, neste caso o repórter da Wired. Ele então criou uma nova conta do Secret e a sincronizou com seus contatos, agora ele tinha oito amigos, dos quais apenas um não era uma conta falsa criada por ele.

Os dois fizeram a mesma coisa com o presidente do Secret Inc., empresa por trás do app, David Byttow, que ao receber um relato dos hackers deu seu e-mail para eles e pediu que descobrissem um de seus segredos para provar seu conceito. Byttow disse que hackers russos já fizeram algo semelhante, usando bots para descobrir segredos, e que a empresa havia tomado precauções contra isso. Mas em algum momento durante a expansão da empresa, o software de proteção falhou, permitindo que o hack de Caudill e Seeley obtesse sucesso, comentou Byttow.

O hack só funciona desta forma, não é possível escolher um segredo de algum amigo no seu feed e fazer uma retro-engenharia para descobrir quem é o usuário por trás.