4 meses atrás 7

Sapphos: 'Tinder feminino' sai do ar após grave falha de segurança; entenda

O aplicativo de relacionamentos Sapphos, que funciona como um “Tinder para mulheres”, foi retirado do ar após a descoberta de uma falha crítica de segurança (IDOR) que expôs documentos pessoais e fotos sensíveis das usuárias. A proposta do software era criar um espaço seguro e inclusivo para pessoas que se identificam como mulheres buscarem conexões amorosas e afetivas. A plataforma rapidamente viralizou, ultrapassando 40 mil downloads em menos de dois dias. No entanto, a promessa de segurança e acolhimento acabou sendo abalada quando uma grave falha de segurança do tipo IDOR foi denunciada por um usuário no X (antigo Twitter).

A vulnerabilidade expôs dados altamente sensíveis das usuárias, incluindo fotos íntimas, documentos de identidade e informações pessoais, levantando sérias discussões sobre privacidade digital, segurança da informação e até possíveis violações da LGPD (Lei Geral de Proteção de Dados). O caso culminou na retirada do Sapphos da App Store e Google Play Store, além da exclusão completa do banco de dados da plataforma.

O episódio lembra incidentes anteriores de grande repercussão, como o vazamento de dados do Ashley Madison, famoso aplicativo voltado para relacionamentos extraconjugais, que também colocou milhões de pessoas em situação de vulnerabilidade ao expor informações privadas. A seguir, entenda os detalhes da brecha, a resposta da empresa e o paralelo com o controverso Ashley Madison, plataforma para infidelidade.

O que aconteceu com o Sapphos?

Em 8 de setembro de 2025, um usuário no X (antigo Twitter) identificado como @acgfbr (Antonio Real Oficial) denunciou uma vulnerabilidade do tipo IDOR, que permitia acessar dados de todas as usuárias apenas manipulando parâmetros nos endpoints de cadastro e login. Os dados expostos se tratavam de fotos das usuárias, documentos (como CPF e RG), datas de nascimento e outros dados pessoais.

A equipe, formada por mulheres desenvolvedoras, afirmou que o aplicativo estava ainda em fase beta, teve cerca de 40 mil downloads e 17 mil usuárias em somente 48 horas. O app, então, foi removido da App Store e da Play Store, todos os dados foram deletados, e os pagamentos realizados na plataforma foram reembolsados. Também foi registrado boletim de ocorrência na Delegacia de Crimes Cibernéticos e Delegacia da Mulher.

IDOR (Insecure Direct Object Reference) ocorre quando o sistema expõe identificadores diretos, como IDs ou nomes de arquivo, sem verificar se quem acessa tem autorização. O problema ainda se tornou especialmente grave por se tratar de um app que exige documentos pessoais para autenticação com o intuito de oferecer segurança reforçada.

Repercussões legais e privacidade

Os Termos de Uso do aplicativo Sapphos previam uma licença ampla para uso e distribuição de conteúdo fornecido pelas usuárias, além da imposição de arbitragem e renúncia a ações coletivas. As cláusulas podem ser consideradas potencialmente inválidas pelo Código de Defesa do Consumidor e pela LGPD.

Semelhanças com o caso "Ashley Madison", o app de “traição”

Lançado no Canadá, o Ashley Madison tem como proposta conectar pessoas que desejam casos extraconjugais sigilosos, com cerca de 65 milhões de contas ativas. O site tornou-se sinônimo de escândalo após vazamentos de dados de seus usuários, expondo identidades e transformando o debate sobre ética, privacidade e segurança digital.

Assim como no caso Sapphos, o caso Ashley Madison nos mostra que plataformas com propósitos diversos podem estar vulneráveis a falhas e vazamentos, e podem causar danos extensos às pessoas envolvidas.

Com informações de Sapphos e Ashley Madison

Veja também: 'Caí no golpe do Pix, e agora?' Veja o que fazer e como recuperar

'Caí no golpe do Pix, e agora?' Veja o que fazer e como recuperar