- Vazamento grave expõe milhares de usuários LGBTQ+ ao risco.
- Falha de segurança revela dados sensíveis no Gay Daddy.
- App promete anonimato, mas entrega exposição total.
Em 7 de janeiro de 2025, o site de segurança cibernética identificou uma falha crítica no aplicativo “Gay Daddy: 40+ Date & Chat”. A vulnerabilidade expôs dados sensíveis de mais de 50 mil usuários da plataforma.
Apesar de prometer anonimato e segurança, o aplicativo comprometia completamente a privacidade dos seus membros.
A equipe encontrou a falha ao analisar mais de 156 mil aplicativos iOS. O Gay Daddy, disponível na App Store da Apple, se destacava negativamente. A descrição do aplicativo Gay Daddy anuncia uma “comunidade privada e anônima” para homens gays e bissexuais. No entanto, deixava perfis, fotos, mensagens privadas e até localizações acessíveis a qualquer pessoa com conhecimento técnico básico.
Firebase mal configurado deixou dados abertos na internet
A falha ocorreu por uma má configuração do Firebase, ferramenta do Google usada para armazenar dados de aplicativos. Pesquisadores descobriram que o banco de dados do app não exigia autenticação, permitindo acesso irrestrito a informações confidenciais. Entre os dados expostos, havia nomes, idades, status de relacionamento e até status de HIV dos usuários.
Segundo o pesquisador Aras Nazarovas, um invasor poderia explorar a brecha e montar um enorme banco de dados com informações privadas. Isso representa um risco grave, principalmente em países onde a homossexualidade ainda sofre forte estigma. Além do Firebase, o app também deixava expostos segredos de autenticação, chaves de API e buckets de armazenamento em nuvem.
Mesmo assim, a equipe não recebeu resposta do criador do app, identificado como Surendra Kumar. O aplicativo permanece disponível na App Store dos EUA, com 3,7 estrelas e mais de 20 mil downloads.
Comunidade LGBTQ+ em risco por negligência digital
Essa não foi a primeira vez que identificou falhas graves em apps voltados ao público LGBTQ+. Casos semelhantes ocorreram com os aplicativos BDSM People, CHICA, TRANSLOVE, PINK e BRISH, todos com credenciais sensíveis expostas no código.
Os especialistas recomendam que desenvolvedores evitem incluir chaves de acesso diretamente nos aplicativos e reforcem as regras de segurança nos serviços em nuvem. Nazarovas destaca a importância de autenticação forte e tráfego seguro entre os servidores e os apps.
A exposição de dados pessoais em plataformas que lidam com temas sensíveis pode trazer danos emocionais, financeiros e até físicos aos usuários. Além disso, para evitar novas falhas, desenvolvedores precisam rever práticas de segurança, especialmente quando lidam com públicos vulneráveis.
