Aplicativo de compartilhamento secreto anônimo Whisper deixou dados confidenciais do perfil expostos por anos

O banco de dados não incluiu nomes reais, pois o Whisper foi projetado para proteger as identidades dos usuários e permitir que eles compartilhem segredos anonimamente. Mas os registros deixados desprotegidos on-line incluíam informações como idade, local, etnia, residência, apelido no aplicativo e associação a qualquer um dos grupos do aplicativo.

Os registros também não incluíam usuários atuais. De acordo com os pesquisadores de segurança Matthew Porter e Dan Ehrlich, que administram a empresa Twelve Security, o banco de dados continha quase 900 milhões de registros de usuários desde o lançamento do aplicativo, mais de oito anos até os dias atuais, The Post relatórios. Porter e Ehrlich disseram que notificaram a aplicação da lei federal da situação, bem como Whisper, antes de entrar em contato The Washington Post. Apenas quando The Post estendeu a mão para a empresa-mãe do Whisper, MediaLab, foi o banco de dados tornado privado.

"Isso violou muito as normas sociais e éticas que temos em relação à proteção de crianças on-line", disse Ehrlich. The Post, acrescentando que as ações do MediaLab aqui foram "totalmente negligentes".

O MediaLab está contestando as descobertas dos pesquisadores, dizendo que as informações deveriam ser voltadas para o público e fornecidas pelos próprios usuários como um recurso do aplicativo. Em particular, o compartilhamento de local foi projetado para adicionar autenticidade a postagens nas quais a localização ou o status de alguém, como um membro militar ativo, era relevante.

No entanto, o MediaLab disse The Post o banco de dados "não foi projetado para ser consultado diretamente" e removeu as informações como resultado. A empresa também se encontrou em água quente no passado ao lidar com dados do usuário, como em 2014, quando foi revelado que a empresa estava coletando dados de localização dos usuários sem o seu consentimento e mesmo se eles explicitamente optassem por não fazê-lo. The Post diz que o banco de dados exposto ilustra que o MediaLab continuava coletando dados de localização do usuário mesmo após a controvérsia.