Pelo que eu entendi, funcionava assim:
- O usuário tira uma foto com o QUIP (ou escolhe uma qualquer em sua biblioteca);
- Usando qualquer conexão à internet disponível no telefone (3G, WiFi, etc), o QUIP posta essa foto em um endereço "criptografado" no site QUIPTXT (já está fora do ar), com o nome cadastrado do remetente;
- O QUIP envia uma mensagem para o destinatário com o endereço "criptografado" da foto. Basta clicar e ver no browser do iPhone.
Para "criptografar" o endereço, o serviço simplesmente gerava um nome de 5 caracteres alfanuméricos para a foto. Digamos que o nome gerado fosse "sfffb". A foto então era hospedada desse jeito:
http://pic.quiptxt.com/sfffb (era um cachorrinho, mas não adianta mais clicar)
Um leigo pensa (se der tempo de pensar alguma coisa) que não há como alguém adivinhar esse endereço. Mas qualquer um com algum conhecimento de programação percebe imediatamente que há algo potencialmente muito errado aí. E havia.
Os (mais óbvios) erros dos programadores:
- Não criaram senha para acessar a página;
- Não criaram um "digito verificador" (o último caractere deveria depender do checksum dos quatro anteriores). Assim qualquer pessoa que recebesse um link para "sfffb", poderia tentar "sfffa" ou "sfffc" que esbarraria numa foto de outra pessoa, porque todas as combinações estavam disponíveis. Em sistemas com dígito verificador apenas algumas combinações são válidas;
- Não criaram nenhum mecanismo de proteção contra download massivo das imagens. Assim quando a falha acima foi descoberta e criaram scripts para gerar todas as combinações possíveis de strings com cinco caracteres para baixar as fotos, o servidor de QUIPTXT não notou nada de errado e permitiu que milhares de fotos fossem baixadas pelo mesmo endereço IP, como se fosse possível isso acontecer no uso real.
O resultado disso tem potencial para ser (não sei quantas fotos vazaram) a maior coleção "pública" de pornô amador não-intencional da história.
Como se não bastasse, cada página de foto mostrava também o nome do usuário que a enviou. Assim essa já é a maior violação de privacidade da história do iPhone e, quem sabe, da história da telefonia. Sabendo os nomes das pessoas e com alguma pesquisa, muitas fotos constrangedoras foram linkadas aos perfis do Facebook de quem as tirou. Alguns desses perfis já saíram do ar por conta disso.
Os erros dos usuários:
- Confiar em uma aplicação de telefone qualquer para postar fotos de sua privacidade. Ainda que isso não tivesse sido descoberto, os criadores de QUIP e qualquer pessoa com acesso ao servidor podiam a qualquer tempo observar cada foto postada no serviço, com nome de quem enviou. Os criadores de QUIP adicionalmente sabiam até o telefone. Ainda que o serviço tivesse alguma segurança contra observadores externos, seus criadores ainda teriam acesso a isso tudo.
- Não perceberem que as fotos estavam em servidores web. Não era uma coisa "de ceular para celular" como um MMS autêntico;
- Provavelmente, muita gente achou que o programa era "seguro" e seus autores "confiáveis" porque baixaram o programa da Apple Store. Grande erro.
Esse tipo de "excesso de confiança" dos usuários não é incomum. A cada rede social nova que aparece, não faltam usuários que voluntariamente fornecem nome de usuário e senha de suas contas de e-mail para "facilitar" o envio de convites para todos os seus contatos. Uma comodidade que pode lhes custar muito caro um dia, como aconteceu agora para muitos usuários do QUIP.