Lançado em novembro, o aplicativo Puffchat surgiu na App Store e na Play Store prometendo ser uma alternativa segura ao Snapchat.

Mas um especialista em segurança britânico descobriu que a história é bem diferente: o app não chega a apagar nada do que é enviado e é cheio de brechas, que permitem a um invasor inclusive tomar posse das contas.

Thomas Hedderwick relatou todas as brechas em um post em seu blog, e mostrou que o Puffchat gerencia dados de usuários de forma errada já no momento do cadastro.

Endereços de e-mail, senhas e datas de nascimento são enviados aos servidores “seguros” do aplicativo pelo protocolo HTTP, e não por HTTPS, por exemplo.

Essas informações ainda ficam expostas na API hospedada no site do aplicativo, e uma busca no código, segundo Hedderwick, traria nome de usuário, data de aniversário e e-mail usado.

Graças a essa exposição, é possível fazer praticamente de tudo, em qualquer conta, pela API do aplicativo.

O especialista chegou a se adicionar com a conta do CEO da companhia, Michael Suppo, por exemplo, e ainda conseguiu enviar mensagens e fotos.

Hedderwick também descobriu pelo código que as fotos e mensagens não são apagadas de verdade. Ou seja, o Puffchat não chega a cumprir nem sua premissa básica: “[O conteúdo] é baixado no seu telefone toda vez que você solicita suas mensagens, o cliente apenas não as mostra para você”, escreveu. As fotos, inclusive as que trazem material explícito, podem até ser acessadas no site da startup.

No mesmo post em seu blog, o especialista britânico afirmou ter entrado em contato com os responsáveis pelo Puffchat de diferentes formas, mas em todas as ocasiões acabou ignorado. Resolveu, então, publicar o texto para alertar os usuários.

A resposta do CEO da startup não foi das mais educadas, no entanto. Apesar de ter prometido consertar todas as falhas mostradas por Hedderwick, Suppo também ameaçou processá-lo caso não removesse todas as postagens feitas sobre o aplicativo.

Tudo porque a empresa “leva a segurança dos usuários muito a sério” – mas aparentemente não o suficiente para implementar medidas básicas antes de lançar o programa no mercado.