Vulnerabilidade no app de namoro Feeld

Comentários do Hacker News

• Parece que a checagem de permissões foi implementada só no frontend

  • É necessário verificar todas as permissões no backend
  • Assim como ao corrigir problemas de buffer overflow, é preciso adicionar verificações de limite em todos os pontos

• Não se deve inserir dados pessoais exatos

  • Informações como data de nascimento devem ser preenchidas com valores aproximados
  • Apps de namoro, em especial, exigem informações sensíveis

• Este app é voltado para pessoas com gostos diversos

  • É um app para pessoas com preferências variadas, como BDSM, sexo em grupo, queer etc.

• Tem aparecido bastante na mídia recentemente

  • Foi noticiado que gerou muita receita
  • Link para a matéria relacionada

• Uma falha no nível de negligência criminosa

  • Considerando a categoria do app, trata-se de um problema extremamente grave

• O mercado de namoro online é uma bagunça

  • Só existem 2 ou 3 empresas que oferecem um serviço útil
  • É preciso haver um serviço de namoro federado e de código aberto

• Parece que não deram a mínima para segurança

  • Sou desenvolvedor de jogos e me esforço mais para manter a justiça no jogo
  • Esta empresa não considera em nada a segurança dos usuários

• O problema do GraphQL

  • Ele permite consultar dados a partir do frontend
  • No backend, é difícil entender as queries e implementar controle de acesso
  • O GraphQL pode tornar esse tipo de erro mais fácil de acontecer

• Uma divulgação responsável e compassiva

  • Fiquei surpreso que os pesquisadores tenham adiado a divulgação
  • Startups deveriam corrigir esse tipo de problema em até 2 meses para não abusar dos dados pessoais