Falha de segurança no Sapphos tira aplicativo do ar

zairasilva

5 meses ago

Falha de segurança no Sapphos tira aplicativo do ar
Getting your Trinity Audio player ready...

Falha de segurança no Sapphos tira aplicativo do ar motivou a retirada emergencial do “Tinder para mulheres” das lojas da Apple e Google em 8 de setembro de 2025. A vulnerabilidade do tipo IDOR permitia o acesso irrestrito a fotos, RGs e outros dados sensíveis de todas as 17 mil usuárias cadastradas, segundo investigação publicada no X pelo pesquisador @acgfbr.

Lançado há apenas 48 horas, o Sapphos exigia que cada nova usuária enviasse uma selfie segurando o RG para validação manual. A medida, anunciada como forma de criar um espaço seguro frente ao aumento de violência contra mulheres — feminicídios julgados saltaram 225% desde 2020, de acordo com o Conselho Nacional de Justiça —, acabou se tornando um risco quando o código expôs todos os arquivos armazenados.

Índice

Falha de segurança no Sapphos tira aplicativo do ar

O pesquisador identificou que o endpoint de cadastro devolvia, além dos próprios dados, um lote paginado contendo informações de todas as contas. Bastava alterar o identificador na URL para visualizar documentos, CPF e data de nascimento de qualquer usuária, típica falha Insecure Direct Object Reference. Após a divulgação, o Sapphos acusou o pesquisador de “ataque mal-intencionado”, mas confirmou a vulnerabilidade.

Reação da empresa e medidas tomadas

Em nota ao TecMundo, a equipe — composta exclusivamente por desenvolvedoras — relatou ter alcançado 40 mil downloads e 17 mil perfis ativos. Diante do incidente, o aplicativo foi removido, a base de dados apagada e reembolsos de até R$ 500 foram processados para quem havia adquirido planos anuais. Um boletim de ocorrência foi registrado na Delegacia de Crimes Cibernéticos e na Delegacia da Mulher.

Termos de uso e possível infração à LGPD

Usuárias também questionaram cláusulas que concediam à empresa licença comercial sobre qualquer conteúdo publicado. Especialistas apontam que essas condições, além de disposições como renúncia a ações coletivas, não encontram respaldo na legislação brasileira. Caso a Autoridade Nacional de Proteção de Dados confirme violação, as sanções podem chegar a 10% do faturamento anual.

Próximos passos

A equipe afirmou que reconstruirá o app “do zero”, com foco em criptografia e revisão de APIs. Enquanto isso, usuárias preocupadas podem registrar reclamações na plataforma oficial do governo para assuntos da LGPD.

Quer acompanhar mais notícias sobre cibersegurança e aplicativos? Visite nossa editoria de Ciência e Tecnologia e fique por dentro das próximas atualizações.

Crédito da imagem: TecMundo/Reprodução

zairasilva

Olá! Eu sou a Zaira Silva — apaixonada por marketing digital, criação de conteúdo e tudo que envolve compartilhar conhecimento de forma simples e acessível. Gosto de transformar temas complexos em conteúdos claros, úteis e bem organizados. Se você também acredita no poder da informação bem feita, estamos no mesmo caminho. ✨📚No tempo livre, Zaira gosta de viajar e fotografar paisagens urbanas e naturais, combinando sua curiosidade tecnológica com um olhar artístico. Acompanhe suas publicações para se manter atualizado com insights práticos e interessantes sobre o mundo da tecnologia.

Conteúdo Relacionado

Go up

Usamos cookies para garantir que oferecemos a melhor experiência em nosso site. Se você continuar a usar este site, assumiremos que você está satisfeito com ele. OK