Vazamento expõe mais de 1,5 milhão de fotos íntimas de usuários de apps de namoro

Mais de 1,5 milhão de fotos privadas de usuários de aplicativos de namoro foram expostas a hackers em um dos maiores vazamentos de dados desde o caso Ashley Madison, ocorrido em 2015. A descoberta foi feita por pesquisadores de segurança da Cybernews, que encontraram um armazenamento online contendo imagens confidenciais de cinco apps: BDSM People, Chica, Pink, Brish e Translove — todos exclusivos para dispositivos iOS e com um número estimado de 800 mil a 900 mil usuários.

As plataformas atingidas foram desenvolvidas pela empresa M.A.D Mobile Apps Developers, e três delas são amplamente utilizadas pela comunidade LGBTQ+. Segundo os pesquisadores, a maioria das imagens comprometidas são de conteúdo sexualmente explícito.

Apps vulneráveis tinham credenciais expostas no código

A análise conduzida pela equipe da Cybernews revelou que o vazamento decorre de credenciais sensíveis expostas no próprio código dos aplicativos. Os especialistas analisaram cerca de 156 mil apps para iOS, e constataram que 71% deles vazavam pelo menos uma informação sensível, como chaves de API, senhas ou chaves de criptografia.

No caso dos apps desenvolvidos pela M.A.D Mobile, o erro foi ainda mais grave: os cinco aplicativos compartilham a mesma arquitetura de software, o que expôs dados sensíveis de forma idêntica.

A primeira imagem que encontrei foi a de um homem nu, na casa dos 30 anos. Na hora percebi que essa pasta não deveria estar pública, afirmou o hacker ético Aras Nazarovas, em entrevista à BBC.

Além disso, os dados estavam armazenados sem qualquer tipo de criptografia ou proteção por senha. Isso permitiu que qualquer pessoa com conhecimento técnico pudesse acessar o conteúdo.

Risco à vida de usuários e possível extorsão

O episódio representa um risco grave para os usuários, especialmente aqueles que vivem em países hostis à comunidade LGBTQ+, onde a exposição pode resultar em violência física ou perseguição legal. A Cybernews alertou que atores maliciosos podem usar técnicas como engenharia social e busca reversa de imagens para identificar usuários nas fotos.

Foram encontradas imagens de verificação de perfil, postagens públicas, fotos enviadas em mensagens diretas, e até mesmo fotos removidas por moderadores por violarem regras da plataforma. Felizmente, mensagens de texto privadas não foram incluídas no vazamento, e as imagens não estavam diretamente associadas a nomes de usuários.

No entanto, os especialistas ressaltam que isso não elimina o risco de identificação e extorsão, considerando as ferramentas atualmente disponíveis para cruzar dados e realizar ataques direcionados.

Resposta da empresa

Em comunicado oficial, a M.A.D Mobile Apps Developers reconheceu a falha, afirmando que a vulnerabilidade já foi corrigida.

Pedimos desculpas aos nossos usuários por qualquer preocupação causada pelo vazamento e esperamos que outros desenvolvedores levem a sério essa questão, disse um porta-voz da empresa.

Mesmo que nenhum vazamento real de dados tenha ocorrido, isso não nos exime de responsabilidade. Pelo contrário, nos motivou a reforçar ainda mais as nossas medidas de segurança, acrescentou.