Yik Yak, um aplicativo que funciona como um fórum local de mensagens anônimas, possibilita encontrar a localização precisa e os IDs exclusivos dos usuários, Placa-mãe relatórios. Um pesquisador que analisou os dados da Yik Yak conseguiu acessar coordenadas GPS precisas de onde vieram as postagens e comentários, com precisão de 10 a 15 pés, e diz que trouxe suas descobertas para a empresa em abril.
Lançado pela primeira vez em 2013, o Yik Yak era popular nos campi universitários, onde era frequentemente usado para fofocar, postar atualizações e intimidar outros estudantes. Depois de perder relevância e tentativas fracassadas de moderação de conteúdo, o aplicativo foi encerrado em 2017, apenas para ressuscitar dos mortos no ano passado. Em novembro, a empresa disse passou de 2 milhões de usuários.
Placa-mãe conversou com David Teather, um estudante de ciência da computação baseado em Madison, Wisconsin, que levantou as preocupações de segurança para Yik Yak e publicou suas descobertas em um post no blog. O aplicativo mostra postagens de usuários próximos, mas exibe apenas a localização aproximada, como “cerca de 1,6 km de distância”, até 8 km, para dar aos usuários uma noção de onde estão vindo as atualizações da comunidade próxima.
Embora Yik Yak prometa anonimato, Teather aponta que a combinação de coordenadas de GPS e IDs de usuário pode desanonimizar os usuários e descobrir onde as pessoas vivem, já que muitos provavelmente o usarão em casa e os dados são precisos de 10 a 15 pés. Essa combinação de informações pode ser usada para perseguir ou observar uma pessoa em particular, e Teather menciona que o risco pode ser maior para pessoas que vivem em áreas rurais onde as casas estão a mais de 10 a 15 pés de distância, porque uma localização GPS pode restringir um usuário a um endereço.
Como Placa-mãe relatórios, os dados são acessíveis a pesquisadores como Teather, que sabem como usar ferramentas e escrever código para extrair informações – mas o risco era real o suficiente para levar Teather a chamar a atenção de Yik Yak.
eu descobri isso @YikYakApp está expondo milhões de localizações de usuários por meio do envio de coordenadas GPS precisas de todas as postagens e comentários (com precisão de 10 a 15 pés) para o aplicativo, que podem ser colhidos por agentes mal-intencionados para rastrear a localização dos usuários.https://t.co/pgT809okv7
— David Teather (@david_teather) 9 de maio de 2022
“Como os IDs de usuário são persistentes, é possível descobrir a rotina diária de um usuário de quando e de onde eles postam YikYaks, isso pode ser usado para descobrir a rotina diária de um usuário específico do YikYak”, escreve Teather. Ele listou outras maneiras pelas quais os dados podem ser abusados, como descobrir onde alguém mora, monitorar usuários ou invadir a casa de alguém quando eles não estão lá.
Yik Yak não respondeu a um pedido de comentário de A Verge.
De acordo com placa-mãe, a versão mais recente do aplicativo lançada por Yik Yak não expõe mais a localização precisa e os IDs de usuário, mas Teather diz que ainda pode recuperar essas informações usando versões anteriores do aplicativo.
“Se o YikYak levasse isso mais a sério, eles restringiriam o retorno desses campos e quebrariam as versões mais antigas e forçariam os usuários a atualizar para uma versão mais recente do aplicativo”, escreveu ele no post do blog.
