180 mil Usuários Ativos Mensais, 43% Crianças e 'Papelada': Como Busquei Vulnerabilidades e Encontrei um Esquema de Negócios
Por 0xItsss
Em uma investigação que começou como uma busca por vulnerabilidades em um bot de namoro russo chamado Mimolet, o pesquisador de segurança 0xItsss se deparou com um cenário alarmante. Em apenas dois dias, ele conseguiu extrair 12.340 perfis de usuários, incluindo 23.999 arquivos de mídia (22.415 fotos e 1.584 vídeos), totalizando 7 GB de dados. O que deveria ser uma análise técnica se transformou na descoberta de um esquema de negócios com sérias implicações éticas e de segurança, especialmente no que diz respeito à proteção de dados de menores.
A jornada de 0xItsss, que se autodenomina 'Neo' nesta narrativa, e o desenvolvedor, 'Mr. Smith', começou com a identificação de falhas críticas logo nos primeiros minutos de análise. A primeira descoberta foi uma vulnerabilidade de IDOR (Insecure Direct Object Reference), que permitia o acesso a perfis de usuários sem a necessidade de autenticação. Ao explorar o endpoint /back/profile/profile_view.php?tg_id=N, o pesquisador pôde visualizar perfis completos, incluindo fotos e idades, simplesmente alterando o tg_id. Essa falha, combinada com a ausência de rate limiting e a validação apenas de uma sessão PHPSESSID (que, surpreendentemente, permanecia válida mesmo após o banimento de uma conta), abriu as portas para a coleta massiva de dados. A política de privacidade do serviço afirmava que o nome de usuário do Telegram só seria compartilhado em caso de 'match', mas o tg_id era publicamente acessível, levantando dúvidas sobre a real preocupação com a segurança e a privacidade dos usuários.
As vulnerabilidades não pararam por aí. A análise revelou que os tokens de ação, supostamente usados para proteger ações como curtidas e descurtidas, eram facilmente contornáveis. Era possível realizar essas ações através do mesmo endpoint profile_view.php sem a necessidade de qualquer token de ação, explorando uma duplicação de lógica de negócios em diferentes endpoints com níveis de segurança distintos. Além disso, a função 'premium' de ver quem te curtiu era uma mera ilusão, pois o contorno era possível através de um simples POST request. A infraestrutura do serviço também apresentava falhas significativas, como um S3 bucket público onde todas as fotos e vídeos dos usuários estavam armazenados sem qualquer proteção. A arquitetura, gerenciada por um ISP Manager e com um arquivo test.php esquecido, expunha detalhes sensíveis do servidor, incluindo a versão do PHP e pacotes instalados. O mais chocante, no entanto, foi a descoberta de que 43% da base de dados era composta por menores de 18 anos, em desacordo com as políticas declaradas de '18+' ou '16+'. Essa negligência levanta sérias questões sobre a responsabilidade legal e ética da plataforma, com potencial para exploração e abuso de dados de crianças e adolescentes.
