Droite au Coeur: O Desdobramento do Primeiro Escândalo de Segurança da Bubble.io

Also available in :

by

Victor Nihoul

-

Aug 7, 2023

-

🇵🇹 Portuguese

Nos últimos anos, as plataformas de desenvolvimento No-Code têm ganhado popularidade, democratizando o processo de criação de aplicativos e sites. A Bubble.io está na vanguarda desse movimento, reconhecida por sua interface amigável e variedade de recursos. No entanto, um evento sem precedentes abalou recentemente a comunidade Bubble.io - uma significativa violação de dados de um aplicativo construído na plataforma. Pela primeira vez, um aplicativo criado na Bubble.io se envolveu publicamente em um escândalo de privacidade de dados, pois informações sensíveis de usuários vazaram online e foram amplamente disseminadas via Twitter. O incidente atraiu atenção significativa, inclusive recebendo cobertura em canais nacionais de televisão francesa. Isso marcou o primeiro grande escândalo público relacionado à segurança da Bubble.io e suas medidas de privacidade de dados. Em uma comunicação reveladora, Stéphane, CEO do Droite au Coeur, lamentou:

A empresa X, que desenvolveu o site, nos deu confiança inicialmente e nos assegurou sobre a segurança [...] No entanto, isso não aconteceu, e o acompanhamento foi lamentável.

Como traduzido do francês, Stéphane destacou o sofrimento causado pelas circunstâncias. Neste artigo, vamos aprofundar-nos nos detalhes da violação, na subsequente resolução, nas atribuições de responsabilidade e nas implicações de longo alcance deste evento.

Os Detalhes do Incidente

As Revelações de Mathis Hammel

Em 29 de julho de 2023, Mathis Hammel, um usuário do Twitter, publicou um tweet chocante. Ele questionou diretamente a equipe por trás do site de relacionamentos @CoeurDroite, pedindo prioridade à cibersegurança e revelando que todo o banco de dados pessoais estava vulnerável a uma violação. Hammel expôs a vulnerabilidade da plataforma, que incluía detalhes críticos como estado civil, orientação sexual e endereços de e-mail.

Olá @CoeurDroite, seria uma boa ideia se interessar por cibersegurança? É possível vazar toda a base de dados pessoais do seu site de relacionamentos em poucos segundos: estado civil, orientação sexual, endereço de e-mail...

O aplicativo comprometido, Droite au Coeur, é um site de relacionamentos para patriotas franceses, frequentemente associado a afiliações políticas de extrema-direita. Essa inclinação ideológica provavelmente o tornou um alvo atraente. Hammel detalhou a natureza da violação em tweets subsequentes, destacando a surpreendente facilidade com que descobriu a falha - simplesmente pressionando F12. O principal problema era a falta de regras de privacidade que deixaram o banco de dados do aplicativo exposto e facilmente acessível através das Ferramentas de Depuração de qualquer navegador para aqueles com conhecimento fundamental. Na sequência, Hammel e outros usuários do Twitter contrastaram humoristicamente a realidade dessa violação - sua surpreendente simplicidade - com as complexidades imaginadas da pirataria.

Como as pessoas imaginam a pirataria versus o que realmente aconteceu

A Natureza dos Dados Expostos

Inicialmente, o vazamento de dados parecia compreender principalmente detalhes de usuários destinados a serem acessíveis publicamente através do aplicativo (como orientação sexual, estado civil). No entanto, dada a inclinação política do site, o vazamento potencialmente colocava os usuários em risco de direcionamento ideológico. Um simples script poderia facilitar a exportação de todo o banco de dados, incluindo a lista de usuários. À medida que a extensão da violação se tornou clara, foi revelado que outros dados não públicos também foram comprometidos. Isso incluía endereços de e-mail e, o mais preocupante, coordenadas geográficas precisas e endereços postais sem qualquer obfuscação. Em termos de cibersegurança, descobrimos que os usuários estavam inadvertidamente fornecendo seu endereço completo em resposta a um pedido de seu código postal. Dada a natureza política do aplicativo, os dados vazados colocaram seus usuários em alto risco de assédio e violação de privacidade. Além disso, a violação de dados violou várias regulamentações, incluindo as leis europeias de proteção de dados GDPR e as leis francesas de privacidade de dados, potencialmente levando a repercussões legais para o aplicativo.

Consequências Imediatas e Impacto

O tweet rapidamente se tornou viral, acumulando quase seis milhões de visualizações - provavelmente devido às implicações políticas da violação. À medida que os usuários do Twitter interagiam com o tweet original, o incidente ganhava destaque na mídia de tecnologia e, eventualmente, chamou a atenção de canais de TV nacionais.

Extract from the main French TV channel BFMTV. (screenshot)
"Droite au cœur, site de encontros para 'patriotas', estava vazando os dados de seus usuários" Trecho do principal canal de TV francês, BFMTV."

"À medida que a notícia se espalhava, o aplicativo enfrentava um aumento sem precedentes no tráfego e em inscrições de perfis falsos. A equipe foi forçada a temporariamente fechar o site para manutenção e resolução de problemas, visando proteger seus usuários. As repercussões continuaram, com um golpe significativo na reputação da plataforma, já que muitos usuários existentes optaram por excluir suas contas devido a preocupações com a segurança de seus dados pessoais. Esse incidente marca um momento decisivo tanto no ecossistema da Bubble quanto no ecossistema mais amplo de No-Code. O primeiro grande escândalo de segurança público envolvendo um aplicativo construído na Bubble, é provável que influencie significativamente as futuras medidas de cibersegurança na plataforma Bubble.io.

Atribuição de Responsabilidade

Em todo evento em que há risco envolvido, é costume encontrar alguém para responsabilizar. O aplicativo em questão foi projetado por uma agência francesa da Bubble.io, e a pergunta crucial agora é - quem deve assumir a culpa pelo vazamento de dados? Seria o Droite au Coeur, os criadores do aplicativo, ou a responsabilidade recai sobre a agência francesa que o desenvolveu, ou talvez Mathis Hammel, o hacker? A resolução dessa questão é bastante complexa.

Avaliando a Abordagem do Hacker

Diversas pessoas, incluindo hackers white-hat bem conhecidos, recorreram ao Twitter para questionar a ética dos métodos de Mathis Hammel e sua decisão de revelar publicamente o vazamento.

Não é muito ético expor publicamente uma falha que pode afetar muitos usuários...

A escolha de expor publicamente uma vulnerabilidade desse tipo levanta preocupações éticas, pois isso poderia potencialmente colocar em perigo muitos usuários e minar a confiança no negócio. De fato, a divulgação pública de tais violações pode impactar não apenas a reputação da empresa, mas também colocar em perigo seus usuários que não têm responsabilidade pelo incidente. Por outro lado, isso ajuda a destacar a possibilidade de uma violação de segurança, conscientizando os usuários sobre a vulnerabilidade de seus dados. Enfrentamos um dilema semelhante ao lançar nosso Verificador de Regras de Privacidade Gratuito para aplicativos Bubble.

A estratégia ideal ao descobrir tal vulnerabilidade é informar os proprietários do aplicativo para corrigir o problema. A Comissão Europeia também fornece diretrizes para lidar com vazamentos de dados caso os proprietários do aplicativo não respondam, as quais podem ser encontradas aqui: Orientações da Comissão Europeia sobre Violção de Dados.

Tornar público o vazamento é uma questão de escolha pessoal, desde que a violação tenha sido corrigida e não seja mais explorável. No entanto, neste incidente em particular, temos problemas com a abordagem do hacker, pois ele optou por vazar os dados apenas para criar agitação no Twitter e por motivações políticas, sem esperar que as vulnerabilidades fossem resolvidas. Essa decisão colocou toda a base de usuários do Droite au Coeur em risco.

Supervisão da agência

De maneira significativa, o aplicativo não foi desenvolvido internamente, mas foi terceirizado para uma agência francesa da Bubble.io. O CEO do Droite au Coeur expressou sua frustração com o processo, declarando: 'A estrutura encarregada do desenvolvimento do site fez o seu melhor, mas o quadro original estabelecido por [o desenvolvedor] foi catastrófico, ilegível e incompreensível.' A agência está entre as 20 principais agências francesas da Bubble, mas não divulgaremos seu nome, uma vez que ainda não foi tornado público. Nossa pesquisa, conduzida no início deste ano em relação à segurança do ecossistema, está alinhada com isso. Descobrimos que 89% dos 100 principais aplicativos exibiam pelo menos uma vulnerabilidade crítica de segurança. Também constatamos que cerca de 65% dos aplicativos desenvolvidos por agências da Bubble tinham vulnerabilidades. (Leia nosso Relatório de 2023: Uma Visão Abrangente da Segurança dos 100 Principais Aplicativos Feitos no Bubble.io)

Esses dados sustentam a ideia de que muitas agências estão atrasadas em garantir a segurança dos aplicativos que produzem, e este parece ser o primeiro exemplo público.

Part of apps with sensitive data leaks from the Top 100 Bubble.io apps. Data that could not be identified as either sensitive or secure is referred to as “Unknown”.
Parte dos aplicativos com vazamentos de dados sensíveis dos 100 principais aplicativos Bubble.io. Os dados que não puderam ser identificados como sensíveis ou seguros são referidos como 'Desconhecidos'.

Facilmente, a agência poderia ser responsabilizada pela supervisão e pelo vazamento de segurança. No entanto, a realidade é mais complexa. Como a maioria das agências, uma vez que o aplicativo é finalizado e lançado, ele é entregue aos clientes, concedendo-lhes controle total. Como a maioria dos clientes de agências não possui expertise técnica, eles podem cometer erros facilmente ou alterar as configurações de Regras de Privacidade, o que foi o culpado neste caso. O equívoco de 'sem código' frequentemente leva os clientes a acreditar que podem fazer alterações sem esforço após o desenvolvimento do aplicativo ter sido concluído. Além disso, rastrear as alterações feitas em um aplicativo para identificar quem alterou uma configuração específica pode ser um desafio. As repercussões do incidente na reputação da agência permanecem incertas, uma vez que o nome deles não foi publicamente associado ao evento. 'No momento, não planejamos entrar com ações judiciais ou processos contra [a agência Bubble]', conforme informado por Stéphane, indicando uma resposta focada no futuro por parte da empresa.

Questionando o Bubble.io

Curiosamente, nem o feed do Twitter nem as transmissões de TV mencionaram que o aplicativo foi desenvolvido no Bubble.io ou No-code, possivelmente porque o aspecto político o ofuscou. O próximo alvo óbvio para a culpa é o próprio Bubble. Como poderia ocorrer um vazamento de dados tão grande no Bubble? A resposta para isso não é simples. O Bubble.io é uma plataforma robusta com rigorosas medidas de segurança de dados. No entanto, sua acessibilidade e interface amigável atraem um público que pode ter conhecimento limitado em cibersegurança e compreensão das regulamentações atuais de privacidade de dados, o que poderia representar riscos potenciais para os usuários finais. Esse problema é agravado pela falta de informações adequadas sobre práticas de segurança e pela escassez de relatórios públicos sobre vulnerabilidades anteriores ou conhecidas (sendo este incidente o primeiro). Em última análise, o Bubble fornece as ferramentas necessárias para proteger um aplicativo, mas a responsabilidade recai sobre os desenvolvedores (tanto agências quanto indivíduos) de pesquisar, aprender e implementar essas ferramentas para garantir a segurança do aplicativo. Recentemente, surgiram ferramentas de terceiros para simplificar o processo de segurança para o seu aplicativo Bubble.io. Apesar da nossa aguda conscientização sobre segurança, erros humanos sempre representam uma ameaça potencial. Ferramentas como Flusk Vault (nosso oferecimento) ou NcScale auxiliam na identificação e correção de vulnerabilidades de segurança em seu aplicativo Bubble."


Implicações para o Futuro

Em um evento que parece ser sem precedentes, este evento sinaliza o primeiro de potencialmente muitos outros que virão. É essencial contextualizar este evento dentro do cenário da ascensão meteórica das ferramentas no-code, especificamente o Bubble.io. Com um número crescente de aplicativos sendo desenvolvidos através do Bubble.io, é inevitável que mais aplicativos contenham vulnerabilidades de segurança. Portanto, precisamos manter um foco incansável na privacidade e segurança de dados para preservar a segurança e credibilidade do ecossistema. Profundamente inserido no contexto mais amplo, este incidente serve como um lembrete poderoso das crescentes preocupações de segurança em torno das plataformas no-code. À medida que mais novatos se aventuram no desenvolvimento de aplicativos por meio dessas plataformas, a probabilidade de falhas de segurança inadvertidas aumenta, criando um ambiente propício para ameaças cibernéticas. O cenário de hackers também está se tornando mais complexo e perigoso no espaço no-code, com hackers habilidosos identificando e explorando essas vulnerabilidades para seu próprio ganho.

Growth curve of the number of apps running on Bubble.io between 2013 and 2022. Source BuiltWith.
Curva de crescimento do número de aplicativos em execução no Bubble.io entre 2013 e 2022 Fonte: BuiltWith.

Confirmamos que a Droite au Coeur tomou as medidas necessárias para retificar as vulnerabilidades de segurança, protegendo assim seus usuários daqui para frente. Uma questão intrigante na sequência de tais incidentes é se uma empresa pode recuperar a confiança após uma violação de segurança? A história fornece uma série de exemplos variados. Algumas empresas, como a Adobe, conseguiram se recuperar com mais força após uma violação de dados, implementando medidas robustas de segurança e demonstrando seu compromisso com a proteção dos dados do usuário. No entanto, outras lutam para reconquistar a confiança do consumidor e sofrem danos à reputação. Muito depende de como a empresa responde à violação e se comunica com seus usuários. O tempo dirá qual trajetória a Droite au Coeur seguirá.