Whisper, um aplicativo móvel de compartilhamento de segredos anônimo que subiu à tona há mais de meia década, vem expondo inadvertidamente informações sensíveis sobre seus usuários há anos através de um banco de dados público online, de acordo com um novo relatório do The Washington Post.
O aplicativo, embora longe de ser tão popular como era nos poucos anos após seu lançamento em 2012, ainda é usado por mais de 30 milhões de pessoas por mês, algumas das quais têm menos de 18 anos e compartilham confissões sobre encontros sexuais de adolescentes e informações relacionadas à orientação sexual. De acordo com The Post, que foi ativamente capaz de consultar a base de dados em tempo real antes de Whisper derrubá-la, uma busca por usuários que se listaram como tendo 15 anos de idade retornou até 1,3 milhões de resultados.
A base de dados não incluiu nomes reais, pois Whisper foi projetada para proteger as identidades dos usuários e permitir que eles compartilhem segredos anonimamente. Mas os registros deixados desprotegidos online incluíam informações como idade, localização, etnia, residência, apelido emapp e afiliação em qualquer um dos grupos do aplicativo.
Os registros também não incluíam apenas os usuários atuais. De acordo com os pesquisadores de segurança Matthew Porter e Dan Ehrlich, que dirigem a empresa Twelve Security, o banco de dados incluía quase 900 milhões de registros de usuários desde o lançamento do aplicativo mais de oito anos até os dias de hoje, The Post relata. Porter e Ehrlich disseram que notificaram a aplicação da lei federal sobre a situação, bem como Whisper, antes de entrar em contato com o The Washington Post. Somente quando The Post chegou ao MediaLab, a empresa mãe do Whisper, foi o banco de dados tornado privado.
“Isso tem violado muito as normas sociais e éticas que temos em torno da proteção das crianças online”, disse Ehrlich ao The Post, acrescentando que as ações do MediaLab aqui têm sido “grosseiramente negligentes”.
MediaLab está contestando as descobertas dos pesquisadores, dizendo que a informação foi destinada a ser pública e fornecida pelos próprios usuários como uma característica do aplicativo. Em particular, o compartilhamento de localização foi projetado para adicionar autenticidade aos posts em que a localização ou status de alguém, como um membro militar ativo, era relevante.
No entanto, o MediaLab disse ao The Post que a base de dados “não foi projetada para ser consultada diretamente”, e removeu a informação como resultado. A empresa também se encontrou em água quente no passado sobre seu tratamento de dados de usuários, como em 2014, quando foi revelado que a empresa estava coletando dados de localização de usuários sem seu consentimento e mesmo que eles optassem explicitamente por não fazê-lo. O Post diz que o banco de dados exposto ilustra que o MediaLab continuou coletando dados de localização de usuários mesmo depois que a controvérsia se espalhou.