Ben Caudill, parceiro de Bryan Seely na pequena empresa de segurança
Rhino Security Labs, mostrou à Wired que é bem simples descobrir as
postagens de uma pessoa no Secret.

É necessário ter o e-mail do
alvo, em primeiro lugar, e entender o funcionamento do Secret: o
usuário precisa ter ao menos sete amigos inscritos no serviço para
começar a ver segredos alheios. O app descobre esses amigos vasculhando o
smartphone em busca de e-mails e telefones de outros usuários. No fim,
mesmo que o dono do aparelho tenha 500 amigos, ele nunca saberá de onde
vieram os segredos que ele vê, pois estes podem vir de apenas sete
pessoas.

Para quebrar essa lógica, Caudill criou sete contas
falsas no Secret usando um script (mas isso poderia ser feito
manualmente), então ele apagou os contatos de sua lista de contatos e
acrescentou as contas falsas no lugar. Por fim, incluiu o e-mail do alvo
também.

Ele então criou uma outra conta e adicionou todas
aquelas falsas como seus contatos. Assim, sempre que houvesse uma
postagem ele saberia que ela veio do alvo, porque os demais contatos da
sua lista de amigos eram falsos.

Como se vê, trata-se de uma
via de mão única; não é possível descobrir o autor de um segredo a
partir do segredo, só o contrário: pelo e-mail, você pega as postagens
do indivíduo.

David Byttow, CEO do Secret, confirmou à Wired a
existência da vulnerabilidade e disse que ela já foi bloqueada. Ainda é
necessário tomar medidas para descobrir se a técnica foi explorada de
forma significativa.