O aplicativo Sapphos, voltado para mulheres sáficas , saiu do ar após um hacker expor dados sensíveis de usuárias na segunda-feira (8). A falha de segurança permitia acesso a informações pessoais, como nome completo, data de nascimento e fotos de documentos.
A falha era do tipo IDOR ( Insecure Direct Object Reference). O erro acontece quando o sistema permite manipulação de identificadores, possibilitando acesso a conteúdos privados sem autorização. Isso fez com que qualquer pessoa pudesse visualizar informações protegidas.
O problema se tornou mais grave porque o Sapphos exigia fotos de documentos durante o cadastro. Usuárias precisavam mostrar o RG ao lado do rosto, o que aumentou os riscos do vazamento. Para especialistas, dados dessa natureza devem ser criptografados e armazenados com protocolos de segurança avançados.
Aplicativo sai do ar após falha e empresa promete reembolso
Após a denúncia, o Sapphos foi retirado das lojas da Apple e do Google. Em nota enviada ao Tecmundo , a empresa admitiu o acesso indevido, mas negou vazamento em larga escala. " Nossa prioridade é e sempre será a comunidade, fortalecer encontros de pessoas sáficas ", informou a equipe.
A plataforma explicou que estava em versão beta e funcionou apenas 48 horas. Nesse período, registrou 40 mil downloads e 17 mil contas ativas. Usuárias relataram medo de exposição de dados bancários, já que havia planos pagos de até R$ 500. A empresa assegurou que não armazena informações financeiras, pois os pagamentos são processados pelas próprias lojas de aplicativos.
Segundo os desenvolvedores, todos os registros e imagens foram apagados após a retirada do app. A empresa também afirmou que fará a devolução dos valores cobrados de quem contratou planos. Além disso, registrou boletins de ocorrência na Delegacia de Crimes Cibernéticos e na Delegacia da Mulher.
Em comunicado, o Sapphos afirmou que sofreu uma tentativa de ataque por “ homens mal-intencionados ”. O grupo teria explorado a falha para acessar os dados e expor a fragilidade do sistema. A empresa classificou a ação como criminosa.
Usuárias também passaram a questionar os Termos de Uso do aplicativo. Capturas de tela mostraram cláusulas que autorizavam o Sapphos a explorar comercialmente conteúdos publicados na plataforma, o que pode violar a Lei Geral de Proteção de Dados (LGPD).