Социальная сеть Secret, созданная для того, чтобы пользователи могли делиться любой пикантной, опасной или конфиденциальной информацией, сохраняя свою анонимность, стремительно набирает популярность. И одновременно становится все менее способной сохранять подлинную анонимность своих участников. Очередной способ установить авторство тех или иных публикаций продемонстрировал специалист по кибербезопасности Бен Кодилл.
Обнаруженная им уязвимость является не программной, а скорее логической. Кодилл создал несколько фальшивых учетных записей в Secret. Затем он стер на смартфоне, с которого осуществлялся эксперимент, весь список контактов и добавил один-единственный – электронный адрес второго участника эксперимента, публиковавшего сообщения в Secret. После этого Кодилл создал еще одну учетную запись в Secret и подписался на обновления как собственных фальшивых аккаунтов, так и реального второго участника. Очевидно, что все публикации, о которых после этого извещало его приложение Secret, были сделаны именно вторым участником. Способ нельзя не признать довольно громоздким, однако охотники за чужими секретами не останавливаются и перед куда более сложными и затратными схемами.
О своей находке Бен Кодилл уже известил создателей социальной сети, которые с февраля запустили программу премирования пользователей за сообщения об уязвимостях. Представители Secret уверили, что проблема будет незамедлительно устранена. Они также сообщили, что за полгода добровольные помощники обнаружили в Secret уже 42 уязвимости.