De zogenaamd beveiligde berichtendienst Freedom Chat heeft twee beveiligingslekken gedicht die kortstondig telefoonnummers en PIN‑codes van gebruikers blootstelden, wat vragen oproept over de privacyclaims van de app.
Beveiligingsonderzoeker Eric Daigle ontdekte de problemen en deelde deze met TechCrunch, omdat er geen officiële manier was om de kwetsbaarheden bij het bedrijf te melden. Volgens Daigle maakte één lek het mogelijk voor onbevoegden om te raden welke telefoonnummers bij de app waren geregistreerd, terwijl een ander lek doorgeefde PIN‑codes van gebruikers toonde aan anderen in hetzelfde openbare chatkanaal.
Freedom Chat‑oprichter Tanner Haas bevestigde de problemen en zei dat het bedrijf alle gebruikers‑PIN’s heeft gereset, de server‑snelheidslimieten heeft verhoogd om massale gokpogingen te blokkeren en plekken verwijdert waar telefoonnummers weergegeven konden worden.
Daigle zei dat hij bijna 2.000 telefoonnummers van gebruikers kon achterhalen door snel nummer‑gissingen te sturen naar de servers van Freedom Chat – een techniek die vergelijkbaar is met recent onderzoek dat laat zien hoe miljarden WhatsApp‑nummers op dezelfde manier te identificeren zijn. Hij ontdekte ook dat de app PIN‑codes terugstuurde voor iedereen in het standaard openbare kanaal, waardoor iemand met een gestolen apparaat mogelijk de app zou kunnen ontgrendelen.
Freedom Chat benadrukte in een update dat geen berichten of gesprekken zijn blootgesteld. Het incident is de tweede keer dat een berichtendienst van Haas kritiek krijgt op zijn beveiliging, naar aanleiding van eerdere problemen met zijn vorige app, Converso.
