Falha no Zapzap expõe a publico mídias de usuários

Na madrugada desse domingo (22 de maio) um usuário anônimo de um fórum brasileiro publicou dois links que redirecionavam para servidores do aplicativo (sub domínios “privados”, que somente o app deveria ter acesso).

Em ambos havia uma página tipo “Index of /” e infinitas mídias (fotos, vídeos, músicas, etc). Os servidores expostos se encontram sobre os domínios zapzap.chat e zapzap.gratis

A mensagem no fórum dizia: “Então, […] sabem daquele app de mensagens feito por brasileiros baseado no Telegram um tempo atrás, o ZapZap? Como todo bom brasileiro, eles são burros e todas as imagens enviadas são guardadas em um servidor público.”

zap_down
Um dos domínios saiu do ar (Foto/Brutal Security)

Até o momento do fechamento desta publicação, somente um dos links estava funcionando e o outro estava fora do ar (ou bloqueado, provavelmente).

zapzap_files
Arquivos eram acessíveis via navegador (Foto/Brutal Security)

Nenhuma conversa aparentemente vazou, somente as mídias das mesmas. Não se sabe a quanto tempo essa exposição ocorria, nem quantos sabiam dela. O site oficial do APP se encontrava no ar, mesmo após o ocorrido.

Com esse tipo de evento só podemos relembrar uma coisa: “Nunca confie tudo a um software”.