Sapphos: Segurança, Ego e Falta de Profissionalismo

Este texto está mais próximo de um artigo de opinião sobre o ocorrido, as providências tomadas e o meu ponto de vista.

O que é o Sapphos?

O Sapphos é um aplicativo de relacionamentos voltado para mulheres lésbicas, funcionando de forma semelhante ao Tinder.
Na teoria, e segundo diversas pessoas da própria comunidade, é considerado o melhor espaço para esse público. O motivo?

• Exige documento no cadastro para validação.
• Permite interação exclusiva entre mulheres lésbicas, sem interferência de outros gêneros.

O que aconteceu?

Na segunda-feira, 07 de agosto, três desenvolvedores (dois brasileiros e um americano) descobriram uma brecha grave de segurança no app.

Com uma simples alteração de ID na URL — que nem sequer estava em formato seguro como uuid ou base64 — era possível acessar informações completas de qualquer perfil, incluindo:

• Foto de perfil
• Imagem de verificação de documento
• Nome completo
• Data de nascimento
• Entre outros dados sensíveis

A reação da empresa

Ao invés de agradecer o informe — que não foi um ataque, apenas uma demonstração responsável do problema —, a Sapphos:

• Denunciou e processou o desenvolvedor que reportou a falha.
• Classificou o caso como um “ataque de grupo de homens cis”.

Vale destacar que o desenvolvedor não expôs dados de nenhum usuário. Ele apenas demonstrou a falha de forma anônima, sem cobrar nada pelo serviço (apesar de trabalhar na área de cybersecurity, com relatos de cobrança de R$200/hora em consultorias).

Mesmo assim, a empresa publicamente efetuou um ataque de gênero e o processou, um ato que pode se voltar contra a própria empresa — afinal, esse tipo de falha fere diretamente a LGPD.

Reação da comunidade

A comunidade classificou a Sapphos como uma empresa de “vibe coding”, que priorizou ego e ideologia em vez de profissionalismo e segurança.

Diversos relatos mostram que:

• O aplicativo foi lançado sem revisão adequada.
• A falha era simples e evitável.
• Bastava uma requisição na API para obter dados completos de qualquer usuário.

Segundo a própria empresa, o app tinha cerca de 40 mil downloads, o que aumenta ainda mais a gravidade da exposição.

Atualmente, o caso é citado como uma das maiores referências de falha de segurança recente, resultado por utilizar do vibe coding - ato de gerar código através de IA - e sem revisar. Além da falha, não só pelo técnico, mas pela forma ridicularizada e ofensiva com que trataram quem tentou ajudar.

Atualmente, vários desenvolvedores e usuários estão movendo processos baseados na LGPD contra a empresa.

Meu ponto de vista

O que mais chama atenção aqui não é apenas a falha em si, mas a postura da empresa:

• Falta de profissionalismo
• Ego inflado
• Transformação indevida em ataque de gênero

Se fosse uma mulher apontando a falha, provavelmente ainda assim a empresa buscaria deslegitimar a crítica.

O fechamento do app e a troca da rota da API foram medidas inúteis. Se os dados já haviam sido expostos, essas ações não impedem o problema real.

No fim, o que poderia ter sido resolvido com um simples “obrigado pelo reporte” e uma correção, agora ficará marcado como um caso de arrogância, despreparo e desconfiança da comunidade.

A reputação, que poderia ter sido fortalecida com transparência, acabou sendo destruída antes mesmo do aplicativo realmente decolar.

Fontes do Vazamento:

• https://x.com/acgfbr/status/1965159646014177659
• https://x.com/vxunderground/status/1965156656943403150
• https://x.com/Reeshasx/status/1965140901661196499