В Secret обнаружена уязвимость, позволяющая вычислить анонимов

Не успело приложение для анонимного обмена секретами запуститься по всему миру, как его уже успели заблокировать и разблокировать в России, слить несколько забавных инсайдов и, конечно же, обнаружить уязвимость, с помощью которой можно пренебречь анонимностью сервиса и вычислить, что публикуют ваши друзья. Для этого достаточно иметь номер телефона человека, которого вы хотите идентифицировать, а также немного терпения.

Приложение Secret составляет список друзей на основании телефонных номеров из контактов на вашем смартфоне. Казалось бы, можно удалить все контакты кроме одного и узнать, какими секретами делился этот человек. Но не тут-то было — Secret начнет показывать записи только тогда, когда в приложении найдется как минимум трое ваших друзей, и пометки friend на их секретах не будет — они просто смешаются в ленте с незнакомцами.

Пометка friend появится только тогда, когда друзей станет минимум пять.

Такую защиту можно обойти элементарным способом. Создайте несколько поддельных аккаунтов. Аккаунты в Secret привязываются к номеру телефона, но для этого не нужно несколько разных SIM-карт. Просто введите случайные номера телефонов, игнорируя SMS-верификацию. Это удобнее делать в веб-версии. В телефонной книжке вашего смартфона должны остаться только эти вымышленные номера и номер того, кого вы хотите вычислить в Secret.

Если у вас уже есть учетная запись, придется создать новую. Понадобится новый номер, зато новый почтовый ящик создавать не нужно. Как заметили в TJournal, Gmail игнорирует точку в почтовом адресе, поэтому [email protected], [email protected] и [email protected] будут вести в один и тот же электронный ящик. При этом Secret при регистрации такие адреса будет воспринимать как разные, так что владелец одного и того же почтового ящика сможет зарегистрировать на него несколько аккаунтов.

Вся операция занимает не более 10 минут. В итоге, создав пять поддельных аккаунтов и занеся в телефонную книгу интересующий номер, вы сможете увидеть его посты в ленте — только они будут появляться с пометкой friend.

Поэтому прежде чем «сливать» корпоративные инсайды в Secret, задумайтесь: а вдруг в этот самый момент за вами наблюдает ваш начальник?