O emergente aplicativo de mídia social indiano Slick deixou um banco de dados interno contendo informações pessoais dos usuários, incluindo dados sobre crianças que frequentam a escola, exposto publicamente na internet por meses.

Desde pelo menos 11 de dezembro, um banco de dados contendo nomes completos, números de celular, datas de nascimento e fotos de perfil dos usuários do Slick é mantido online sem senha.

O Slick, com sede em Bengaluru, foi lançado em novembro de 2022 pelo ex-executivo da Unacademy, Archit Nanda, depois de abandonar a criptomoeda e encerrar sua startup anterior, CoinMint. Sua última aventura, Slick, está disponível para Android e iOS e funciona de maneira semelhante ao Gas, um aplicativo de elogios popular nos Estados Unidos. O aplicativo também permite que alunos de escolas e faculdades conversem com e sobre seus amigos anonimamente.

pesquisador de segurança anurag sen da CloudDefense.ai encontrou o banco de dados exposto e pediu ajuda ao TechCrunch para relatar o incidente à startup de mídia social. Slick garantiu o banco de dados logo após ser contatado pelo TechCrunch na sexta-feira.

Devido a uma configuração incorreta, qualquer pessoa familiarizada com o endereço IP do banco de dados poderia acessar o banco de dados, que continha entradas para mais de 153.000 usuários no momento em que foi protegido. O TechCrunch também descobriu que o banco de dados estava acessível por meio de um subdomínio fácil de adivinhar no site principal do Slick.

O pesquisador também informou a equipe de resposta a emergências de computadores da Índia, conhecida como CERT-In, a principal agência do país para lidar com questões de segurança cibernética.

Nanda confirmou ao TechCrunch que Slick corrigiu a exposição. Não se sabe se alguém além de Sen encontrou o banco de dados antes de ser protegido.

O Slick atraiu muitos usuários mais jovens na Índia logo após sua estreia no ano passado. No início deste mês, Nanda foi ao Twitter para anunciar que o aplicativo ultrapassou 100.000 downloads.