В анонимном приложении Secret научились находить записи конкретного пользователя28.05.2014 20:34

Регистрация аккаунта в Secret происходит по адресу электронной почты, при этом пользователю рекомендуют заодно указать и номер телефона. После первого входа в приложение оно сканирует телефонную книгу владельца и ищет среди них действующих пользователей Secret. Так и складываются круги «друзей» и «друзей друзей» — обе эти подписи показываются у соответствующих записей, но кто именно опубликовал тот или иной пост, напрямую установить нельзя.

В Secret реализована и простейшая защита: пользователь не может смотреть записи своих друзей, пока их число не превысит трёх. Предполагается, что это не позволит «хитрецам» оставить в контактном листе одного человека и просмотреть через приложение все его записи.

secret-is-not-secret-5386016c25fcb.png

Тем не менее, нашёлся способ относительно легко обойти этот запрет. Для этого достаточно создать несколько поддельных аккаунтов, добавить их к себе в контакт-лист, а затем вписать туда же человека, чьи записи нужно увидеть.

При этом для создания поддельных аккаунтов не требуется использовать новые SIM-карты. Оказывается, при регистрации можно указать любой телефонный номер, а просьбу подтвердить его по SMS беспрепятственно проигнорировать.

secret-is-not-secret-538607c638086.png

Более того, как установил TJournal, пользователю не требуется даже вводить разные адреса электронной почты. Сервис Gmail игнорирует точку в почтовом адресе, то есть example@gmail.com, ex.ample@gmail.com и exam.ple@gmail.com будут вести в один и тот же электронный ящик.

При этом Secret при регистрации все три адреса из примера будет воспринимать как разные, соответственно, владелец одного и того же почтового ящика сможет зарегистрировать на него несколько аккаунтов.

Несмотря на то, что изначально Secret предлагает добавить хотя бы трёх друзей, TJournal потребовалось создать более пяти поддельных аккаунтов-«друзей», чтобы получить возможность «подглядывать» за чужими записями. Но в итоге приложение действительно выдало записи от реального пользователя Secret, добавленного в адресную книгу смартфона, в общей ленте: узнать их можно по заметке «Friend» в нижнем левом углу «секрета».

secret-is-not-secret-538608b34dbe7.png

Метод работает и с пользователями, не указавшими номер телефона при регистрации. Для этого достаточно добавить в контакт-лист смартфона запись с указанием адреса электронной почты «жертвы».

secret-is-not-secret-5386092109a00.png

По какой-то причине такой метод не выдаёт всех записей «жертвы»: в ходе теста высветилась только часть постов двух пользователей и ни одного у третьего испытуемого. Свежие записи от тестовых аккаунтов, однако, высвечивались исправно.

TJournal обратился к разработчикам Secret за комментарием, но не получил оперативного ответа.

©  TJournal