В анонимном приложении Secret научились находить записи конкретного пользователя

В приложении Secret, предназначенном для анонимного общения и публикации слухов, есть возможность увидеть записи конкретного человека. Исходный метод озвучило издание Apparat, а TJournal дополнил его и проверил работоспособность.

Поделиться

Регистрация аккаунта в Secret происходит по адресу электронной почты, при этом пользователю рекомендуют заодно указать и номер телефона. После первого входа в приложение оно сканирует телефонную книгу владельца и ищет среди них действующих пользователей Secret. Так и складываются круги «друзей» и «друзей друзей» — обе эти подписи показываются у соответствующих записей, но кто именно опубликовал тот или иной пост, напрямую установить нельзя.

В Secret реализована и простейшая защита: пользователь не может смотреть записи своих друзей, пока их число не превысит трёх. Причём даже трёх друзей недостаточно: пока их число не достигнет пяти, записи от «друзей» и «друзей друзей» будут помечаться как посты «из вашего круга».

Предполагается, что это не позволит «хитрецам» оставить в контактном листе одного человека и просмотреть через приложение все его записи.

Тем не менее, нашёлся способ относительно легко обойти этот запрет. Для этого достаточно создать несколько поддельных аккаунтов, добавить их к себе в контакт-лист, а затем вписать туда же человека, чьи записи нужно увидеть.

При этом для создания поддельных аккаунтов не требуется использовать новые SIM-карты. Оказывается, при регистрации можно указать любой телефонный номер, а просьбу подтвердить его по SMS беспрепятственно проигнорировать.

Более того, как установил TJournal, пользователю не требуется даже создавать разные адреса электронной почты. Сервис Gmail игнорирует точку в почтовом адресе, то есть example@gmail.com, ex.ample@gmail.com и exam.ple@gmail.com будут вести в один и тот же электронный ящик.

При этом Secret при регистрации все три адреса из примера будет воспринимать как разные, соответственно, владелец одного и того же почтового ящика сможет зарегистрировать на него несколько аккаунтов.

Создав более пяти поддельных аккаунтов-«друзей», TJournal действительно получил возможность «подглядывать» за чужими записями. В итоге приложение действительно выдало записи от реального пользователя Secret, добавленного в адресную книгу смартфона, в общей ленте: узнать их можно по заметке «Friend» в нижнем левом углу «секрета».

Метод работает и с пользователями, не указавшими номер телефона при регистрации. Для этого достаточно добавить в контакт-лист смартфона запись с указанием адреса электронной почты «жертвы».

По какой-то причине такой метод не выдаёт всех записей «жертвы»: в ходе теста высветилась только часть постов двух пользователей и ни одного у третьего испытуемого. Свежие посты от тестовых аккаунтов, однако, высвечивались исправно.

Кроме того, этот путь не позволяет увидеть комментарии человека к чужим записям. TJournal обратился к разработчикам Secret за комментарием, но не получил оперативного ответа.

Поделиться

Нашли опечатку? Выделите фрагмент и отправьте нажатием Ctrl+Enter.

3 лучших комментария

Пользуясь случаем

16

Оххх, рано, рано про такую баг/фичу рассказали, надо было бы материала накопить))
Вот бы веселые каминг-ауты бы пошли

7
48 комментариев доступны только владельцам аккаунта TJ+
Наверх