A questão da privacidade online é, hoje em dia, um assunto cada vez mais discutido ao mais alto nível. Com cada passo tecnológico que é dado, e quanto mais nos aproximamos da chamada ubiquidade tecnológica, mais a tecnologia se torna invasiva e estar atento a que dados disponibilizamos é cada vez mais importante.
O facto de que a tecnologia hoje em dia já não é usada apenas por geeks, e está acessível a quase todos de uma maneira fácil de utilizar, implementou novos hábitos na maneira como comunicamos. Um exemplo, que tem a ver com este artigo: hoje em dia enviar uma fotografia para um contacto ou para o Facebook é algo que está ao alcance de um botão. Nos bastidores os dados são transformados em pacotes que transitam por diversos servidores até chegarem ao seu destino mas, na realidade, (quase) ninguém se interessa pelo o que ocorre nos bastidores: O serviço existe, há uma app que o faz e apenas carregamos no botão.
A Addy Mobile é (foi?) uma pequena empresa que desenvolveu uma aplicação chamada Quip, para o iPhone, que parecia ter todas as condições para ser um sucesso: Em vez de os utilizadores enviarem uma MMS, e assim pagarem o custo extra que o serviço acarreta, com a Quip apenas tinham que utilizar a aplicação que, usando o plano de dados de Internet, enviava a foto para um servidor e automaticamente enviava um link para o destinatário. Mais ainda, com esta aplicação também era possível enviar as fotos para o Facebook.
Quando foi lançada, a aplicação recebeu críticas bastante positivas e transformou-se num êxito de vendas na App Store da Apple, especialmente nos Estados Unidos onde enviar um MMS é um processo bastante mais complicado do que em Portugal.
Isto foi em Setembro de 2009. Em Novembro do mesmo ano, um post de um utlizador no site digg, alertava para o facto de que, ao tentar visionar uma foto que lhe tinha sido enviada por um amigo, tinha descoberto uma falha no sistema utilzado pela aplicação: Ao mudar qualquer um dos últimos cinco dígitos do URL, enviado pela aplicação, este utilizador tinha tido acesso a outras fotos, de outros utilizadores, que era suposto serem privadas. Como ironizou na altura nesse post “existem apenas 60,466,176 possibilidades e eu vou tentar algumas delas“.
Seria de esperar que uma pequena empresa, que desenvolve uma aplicação que está direccionada para um público alvo que utiliza as redes sociais massivamente, estaria atenta ao que se ia dizendo sobre a sua aplicação nas diversas redes sociais mas tal não aconteceu. O post no digg não mereceu a atenção pelos responsáveis da Addy Mobile e milhões de utilizadores continuaram a enviar as suas fotografias usando a aplicação, ignorantes do facto de que qualquer pessoa podia vê-las: desde as fotos dos cachorros a fotos intimas com parceiros ou sozinhas (ok, mais sozinhas do que com parceiros), passando por fotos de cartões de crédito, snapshots de SMS (incluíndo os números de telefone), os servidores da Quip foram o destino final para estes conteúdos privados de utilizadores que confiaram na Addy Mobile para pouparem algum dinheiro, sem saberem que o site também já era, por esta altura, o destino de milhares de utilizadores que sabiam da falta de segurança do site e assim acediam a estes conteúdos.
A acção da Anonymous
Há dois dias atrás, começaram a aparecer no 4Chan threads com conteúdo exclusivamente retirado dos servidores da Quip. Um grupo de utilizadores do 4Chan tinha escrito um simples script em PHP que permitia automatizar o o processo de visualização das fotos, ao gerar os tais cinco últimos dígitos.
Um dos responsáveis pela empresa Addy Mobile finalmente reagiu ao ter que responder ao que parecia ser um “Denial of Service Attack” e quando um post foi colocado no site reddit a explicar o todo o processo: Os servidores foram desligados mas demasiado tarde pois, por essa altura já milhares de fotografias (privadas), já estavam e continuam a estar disponíveis na Internet.
Ilações a tirar
Seria de esperar que uma empresa que cobra €0.99 por uma aplicação, e que lida com dados pessoais, levasse a segurança desses mesmos dados a sério. Seria também de esperar que a Apple, que tem a fama (justificada) de ter um processo de avaliação das aplicações submetidas bastante sinuoso, tivesse também algum cuidado ao analisar, antes de aprovar, uma aplicação que envolve dados privados e a sua dispersão em rede.
O facto de que a Addy Mobile tenha decidido ignorar o post colocado no digg em Novembro de 2009, é algo que não consigo nem explicar nem aceitar. É importante notar que não estamos aqui a falar de um ataque ao site mas sim à inexistência total de segurança do sistema. Como alguém disse num post no 4Chan, “é impossível atacar a segurança de um sistema quando a segurança não existe“. O maior erro que uma empresa, que está nesta área de negócio, pode cometer é não respeitar os dados pessoais dos seus clientes e pensar que ninguém vai descobrir as falhas de segurança existentes. É bastante improvável que os programadores não soubessem que não existia qualquer segurança no sistema e que qualquer pessoa poderia, ao cometer um erro, descobrir. As consequências, para os responsáveis da Addy Mobile, ainda estão para ser descobertas mas todos os utilizadores da aplicação têm razão para estarem preocupados, especialmente aqueles que não se limitaram a enviar, através da aplicação, o bouquet de rosas que receberam.
Mas as ilações a tirar não param por aqui: Também os utlizadores, em geral, deveriam tirar deste caso uma lição importante que é a de nunca partilharem online informação, neste caso fotografias, de que se possam arrepender no futuro. Lembram-se do e-mail? Usem-no! É bem melhor do que ter as vossas aventuras intímas, com vós mesmos/as espalhadas pela Internet.
Será este o fim da Addy Mobile? Como um utlizador escreveu, depois do responsável pela Quip responder ao post no reddit: “Sábado: Ningém conhece a tua empresa; Domingo: Anónimos descobrem a tua empresa e toda a gente a fica a conhecer; Segunda-feira: Não tens empresa”
Este foi publicado originalmente no Bit Rebels
Tags: Addy Mobile, Quip, iphone, Facebook, 4Chan, Anonymous
