Falha de segurança no Sapphos tira aplicativo do ar motivou a retirada emergencial do “Tinder para mulheres” das lojas da Apple e Google em 8 de setembro de 2025. A vulnerabilidade do tipo IDOR permitia o acesso irrestrito a fotos, RGs e outros dados sensíveis de todas as 17 mil usuárias cadastradas, segundo investigação publicada no X pelo pesquisador @acgfbr.
Lançado há apenas 48 horas, o Sapphos exigia que cada nova usuária enviasse uma selfie segurando o RG para validação manual. A medida, anunciada como forma de criar um espaço seguro frente ao aumento de violência contra mulheres — feminicídios julgados saltaram 225% desde 2020, de acordo com o Conselho Nacional de Justiça —, acabou se tornando um risco quando o código expôs todos os arquivos armazenados.
Falha de segurança no Sapphos tira aplicativo do ar
O pesquisador identificou que o endpoint de cadastro devolvia, além dos próprios dados, um lote paginado contendo informações de todas as contas. Bastava alterar o identificador na URL para visualizar documentos, CPF e data de nascimento de qualquer usuária, típica falha Insecure Direct Object Reference. Após a divulgação, o Sapphos acusou o pesquisador de “ataque mal-intencionado”, mas confirmou a vulnerabilidade.
Reação da empresa e medidas tomadas
Em nota ao TecMundo, a equipe — composta exclusivamente por desenvolvedoras — relatou ter alcançado 40 mil downloads e 17 mil perfis ativos. Diante do incidente, o aplicativo foi removido, a base de dados apagada e reembolsos de até R$ 500 foram processados para quem havia adquirido planos anuais. Um boletim de ocorrência foi registrado na Delegacia de Crimes Cibernéticos e na Delegacia da Mulher.
Termos de uso e possível infração à LGPD
Usuárias também questionaram cláusulas que concediam à empresa licença comercial sobre qualquer conteúdo publicado. Especialistas apontam que essas condições, além de disposições como renúncia a ações coletivas, não encontram respaldo na legislação brasileira. Caso a Autoridade Nacional de Proteção de Dados confirme violação, as sanções podem chegar a 10% do faturamento anual.
Próximos passos
A equipe afirmou que reconstruirá o app “do zero”, com foco em criptografia e revisão de APIs. Enquanto isso, usuárias preocupadas podem registrar reclamações na plataforma oficial do governo para assuntos da LGPD.
Quer acompanhar mais notícias sobre cibersegurança e aplicativos? Visite nossa editoria de Ciência e Tecnologia e fique por dentro das próximas atualizações.
Crédito da imagem: TecMundo/Reprodução
