Há alguns meses, o aplicativo Sarahah virou febre entre os internautas, mas ele perdeu um pouco o seu sucesso após identificarem que o programa copiava toda a lista de contatos do usuário para os seus servidores logo após a instalação. Agora, um pesquisador do Reino Unido identificou novas falhas de segurança no serviço.
Conforme relata o The Next Web, Scott Helme descobriu que o sistema de proteção CSRF da versão web do Sarahah é extremamente vulnerável, o que deixa os usuários expostos a possíveis ataques.
O pesquisador de segurança também identificou problemas com os cabeçalhos de segurança do site que impedem o uso do protocolo HSTS – uma ferramenta usada para proteger usuários de ataques de invasão de cookies e downgrade de protocolo.
Helmes ainda afirma ter encontrado falhas no sistema de filtragem de mensagens, que promete evitar que mensagens de assédio sejam enviadas para algum usuário, e que não existe um limite de mensagens que podem ser enviadas, ou seja, uma pessoa seria capaz de bombardear outra com um número infinito de mensagens de assédio.
Aparentemente, o site também tem problemas com a redefinição de senha e as tentativas de login. Para redefinir uma senha, a Sarahah exige apenas o endereço de e-mail associado à conta para gerar automaticamente uma nova senha e enviá-la para o usuário. No entanto, não existe um limite de vezes que isso pode ser feito antes de a pessoa acessar a conta com uma nova senha – em casos de cyberbullying, isso pode ser usado para encher a caixa de entrada da pessoa de e-mails e ainda dificultar o acesso à conta.
Helme alertou os desenvolvedores sobre as falhas e eles garantem que fizeram as correções necessárias, sem passar mais informações sobre as correções. O pesquisador afirma que sua maior preocupação com o site é a ostensiva falta de profissionalismo. “Dado o que eu encontrei e como o fornecedor respondeu, eu realmente não usaria o serviço. Sarahah não fez o suficiente para provar que eles são um provedor de serviços responsável.”
Tags: