- La red social ofrece anonimato garantizado
- El hackeo fue notificado a la compañía, que lo solucionó lanzando un parche
La red social más anónima se ha quedado sin el calificativo. Un grupo de hackers consiguió encontrar un agujero en la seguridad del portal y poner al descubierto la identidad de miles de usuarios.
Los hackers introducían contactos falsos y solo uno real, al que podían rastrear fácilmente. Los hackers de Rhino Security Labs descubrieron una manera de engañar al sistema. La aplicación, que obliga a importar los contactos de cada usuario, etiqueta quémensajes son de tus amigos. Para evitar que tú rastrees a una persona en particular, Secret exige que siete de tus contactos publiquen en la red antes de etiquetar esos mensajes.
Pero aquí está el truco: Llenas la lista de contactos de tu teléfono con personas inventadas y sólo un contacto real (el objetivo a quien deseas rastrear). Si tú controlas los mensajes procedentes de estas cuentas Secret ficticias, es fácil detectar cuando tu “amigo” real está publicando.
“Manipulas los datos en el exterior, los introduces como datos confiables, y ¡voilá! Logras que el sistema trabaje para ti”, explicó Bryan Seely, un investigador de Rhino.
LOS HACKERS INFORMARON DEL AGUJERO DE SEGURIDAD
Los investigadores en seguridad notificaron del problema a la startup de San Francisco la semana pasada, y Secret dijo que emitió un parche corrector de inmediato. Ahora, tras la corrección, si importas una lista de amigos falsos y sólo uno real, el real no será etiquetado como un “amigo”, dijo Seely.
El CEO de Secret David Byttow culpó a una actualización de software de aplicaciones, arguyendo que el hackeo era “difícil”, no era 100% preciso y sólo era posible por un corto tiempo. “Estamos muy agradecidos con los investigadores por contactarnos. Nosotros parchamos un problema similar en mayo”, dijo Byttow, y agregó que el problema fue arreglado “en cuestión de horas”.
MÁS TECNOLOGÍA: