Um aplicativo de relacionamentos exclusivo para mulheres, com registro autorizado apenas mediante documentos pessoais. Embora pareça uma proposta com boas intenções à primeira análise, não demorou para que muitos usuários começassem a suspeitar das exigências – e hoje (8), um suposto vazamento de dados teria se confirmado. O caso em questão trata do Sapphos App, recentemente lançado para Android e iOS.
Segundo a descrição em seu site oficial, o aplicativo foi pensado “para ser um espaço seguro, acolhedor e respeitoso para todas as pessoas que buscam conexões afetivas”. Para criar tal ambiente, o Sapphos exige que as candidatas à inscrição enviem uma foto segurando seu RG ao lado do rosto. Manual, o processo de avaliação não possui automação, sendo revisado por membros da equipe interna.
A escolha pela revisão humanizada não é por acaso. Conforme explica a Sapphos em uma postagem, a decisão se dá pelas falhas de identificação frente à diversidade das usuárias, como as mulheres não-femininas – que acabam sendo falsamente rejeitadas como homens.
Ainda que pareçam rigorosas em excesso, as decisões partem de um princípio comum – o crescente índice de violência contra mulheres, além de crimes contra minorias LGBTQIAPN+.
Segundo dados do Painel Violência Contra a Mulher de 2025, publicado pelo Conselho Nacional de Justiça (CNJ), o número de casos de feminicídio julgados aumentou mais de 225%, passando de 3.375 para 10.991 desde 2020. Similarmente, dados do Sistema Nacional de Agravos de Notificação (Sinan) apontaram um aumento de 50% nos casos de violência contra lésbicas no Brasil, entre 2015 e 2022.
Por outro lado, a falta de transparência e histórico da equipe responsável pelo aplicativo causou desconfiança entre as candidatas interessadas. Em publicações feitas no X (antigo Twitter), usuárias chegaram a alertar para potenciais usos maliciosos das imagens, incluindo para forjar empréstimos ou acessar sistemas com múltiplas formas de autenticação (MFA).
Problemas de vulnerabilidades no Sapphos expõe dados pessoais de usuárias
Nesta segunda-feira (8), o usuário do X (antigo Twitter) @acgfbr realizou uma investigação no código do Sapphos e compartilhou os resultados com o público. Segundo ele, o aplicativo possui falhas graves que permitem o acesso indevido e irrestrito a imagens das usuárias. As evidências de acesso indevido foram compartilhadas em anexo, parcialmente censuradas.
Segundo sua apuração, a falha apresentada é do tipo IDOR (Insecure Direct Object Reference), que ocorre quando o sistema expõe identificadores diretos de recursos, como IDs, nomes de arquivos ou chaves sem verificar se o solicitante tem permissão para acessá-los.
Em comentários ao TecMundo, @acgfbr (também conhecido como ‘Antonio Real Oficial’) afirmou que “gostaria de proteger a comunidade LGBT antes que alguém mal-intencionado obtivesse esse acesso indevido”. Segundo ele, a falha era simples: “o endpoint no cadastro e login, além de retornar os dados do usuário, retornava o dado de TODOS os usuários paginados”. Conforme ele explica, por meio da falha seria possível obter todas as informações do cadastro – desde data de nascimento, CPF, e fotos.
“A intenção nunca foi prejudicá-los, mas sim alertar sobre a falha” — Antonio Real Oficial (@acgfbr), ao TecMundo
Em resposta ao exposto, a Sapphos condenou a ação de @acgfbr como uma tentativa de ataque realizada por “homens mal-intencionados” e comunicou que está investigando o caso, além de ter isolado o ambiente afetado. Nesse contexto, é importante lembrar que, independente das intenções, o acesso indevido a um sistema privado ainda é considerado invasão – exceto em casos em que há programas de recompensa ou autorização expressa da empresa.
Nos comentários da publicação, os usuários repudiaram a postura da Sapphos, que confirmou a existência da vulnerabilidade IDOR. Diante da repercussão, Antonio afirma que avalia os próximos passos: “eu ainda estou pensando no que vou fazer,” pondera, “eles estão me caluniando na internet”.
Posicionamento da Sapphos sobre o caso ao TecMundo
O TecMundo entrou em contato com a Sapphos, que cedeu um comentário oficial e exclusivo sobre o caso.
Leia na íntegra:
“Nosso app foi desenvolvido e ajustado por uma equipe de mulheres DEVs com níveis diversos, todas apoiando um aplicativo pequeno e independente. Sempre reforçamos ao longo do lançamento a dificuldade de fazer um aplicativo de maneira independente e com poucos braços, foi um processo longo.
É importante reforçar, também, que nosso aplicativo é uma versão beta que acabou viralizando e tendo 40 mil downloads com 17 mil usuárias, durando no ar apenas 48 horas. A necessidade desse espaço ser criado é clara, mas a falta de patrocínio, apoio e ataques dificulta a expansão do mesmo.
Durante a manhã, notamos o acesso indevido publicado por um usuário, e imediatamente tiramos todos os possíveis acessos aos dados do ar. Não temos, por hora, registro de dados vazados, mas sim de um acesso indevido que foi publicado.
Além disso, não possuímos nenhum dado bancário dos nossos usuários, todos processos de pagamentos foram realizados pelas próprias lojas de aplicativo (Apple Store e Google Play Store), apenas possuíamos comprovantes de que haviam sido feitas compras pelos usuários, mas nunca tivemos nenhum acesso a dados financeiros.
Com esse desenrolar, entendemos que era necessário sair do ar imediatamente para não ter mais pessoas acessando indevidamente. Além disso, ao longo do dia bloqueamos nosso aplicativo nas plataformas e apagamos todas nossa base de dados. Estamos 100% dispostas a corrigir todo e qualquer problema de segurança para garantir um app funcional e seguro para todas as usuárias.
Também, fizemos boletim de ocorrência na Delegacia de Crimes Cibernéticos e Delegacia da mulher. Sendo a segurança de nossas usuárias prioridade e cessando possíveis novas tentativas.
O lançamento inicial do aplicativo surgiu por alinhar o aplicativo ao mês lésbico e por ser necessário apoio e investimento para continuarmos. Vamos tentar entender como continuar com a existência dele da melhor forma. O objetivo agora é investir em melhorar a equipe e o aplicativo. No fim todas queremos um espaço seguro para nos relacionar e antes desse vazamento já estávamos garantindo diversas conexões entre a comunidade sáfica.”
Especialista em segurança explica vulnerabilidade da Sapphos, o IDOR
A convite do TecMundo, a especialista em segurança mobile, Daiane Santos (@wh0isdxk), explicou em mais detalhes como a vulnerabilidade da Sapphos funcionou. Ela contextualiza: “Quando falamos de IDOR (Insecure Direct Object Reference), estamos falando de uma vulnerabilidade que permite que o atacante consiga realizar a manipulação de um objeto diretamente,” afirma, “Esse objeto pode ser um parâmetro de consulta, um ID, nome de arquivo…”.
Segundo Daiane, neste cenário, o código simplesmente assume que o solicitante é, de fato, a pessoa que afirma ser: “não há uma validação de que esse ‘objeto’ pertença realmente a ela [pessoa solicitante]”. Exemplificando, a especialista afirma que o caso ocorre quando um invasor acessa dados de outras pessoas apenas “mudando um identificador na URL de um site”.
“Uma vez que não temos os dados sendo trafegados com criptografia, facilmente temos acesso a essa URL e consequentemente aos outros perfis.” – Daiane Santos, especialista em segurança mobile, ao TecMundo.
“Vamos considerar que meu número de usuária é ‘12345’”, Daiane sugere, “olhando a URL estaria como [site.com.br/usuaria?id_conta=12345]. Apenas manipulando o ‘12345’, eu consigo acessar o perfil de outras pessoas, já que não há uma validação de que ele não me pertence,” pontua.
Falando sobre a segurança do Sapphos no manuseio dos documentos solicitados para registro, Daiane é categórica: “Quando estamos falando de dados sensíveis (PII), precisamos ter um cuidado extra sobre solicitar apenas os dados que sejam realmente necessários,” afirma, “armazená-los sempre com criptografia, em trânsito e em armazenamento”.
Termos de uso da Sapphos podem ser considerados abusivos pela LGPD?
A Lei Geral de Proteção de Dados (LGPD) é uma das principais diretrizes para o tratamento de informações sensíveis no Brasil. Entre suas disposições, há regras para obter o consentimento prévio antes de coletar dados, bem como a justificativa para fazê-lo e os mecanismos que protegem o processo. É claro, em caso de suspeita de vazamentos, é obrigatório notificar a Autoridade Nacional de Proteção de Dados (ANPD), além de outros órgãos reguladores competentes.
Nesse contexto, conforme citado anteriormente, o Sapphos possui justificativas críveis para a solicitação das medidas. Contudo, a necessidade deve ser explicitada de acordo nos Termos de Uso do serviço – que neste caso, revelam detalhes preocupantes.
Potencialmente extrapolando os limites do compreensível para muitos usuários, a documentação garantia à empresa direitos comerciais e de reuso para quase toda interação dos usuários. A página original foi removida do site, mas usuários publicaram capturas de tela.
Em detalhes, ao publicar qualquer conteúdo na plataforma, o usuário concede à Sapphos uma licença gratuita e global para usar, reproduzir, modificar e distribuir esse material. A empresa pode explorá-lo comercialmente e em outros canais, inclusive para fins promocionais e publicitários – desde que respeite a legislação vigente e sua “Política de Privacidade”.
Termos de uso do Sapphos são inválidos no Brasil
Adiante, o termo de uso da Sapphos estabelece que disputas devem ser resolvidas, preferencialmente, por meio de arbitragem, antes de qualquer ação judicial. Ao aceitar o contrato, o usuário renunciaria a participação em ações coletivas ou ter julgamento por júri, concordando com um foro específico para eventuais processos, conforme a legislação vigente.
Contudo, há outro problema grave: no Brasil, a cláusula de arbitragem presente nos termos da Sapphos só é válida se o usuário concordar expressamente, conforme a Lei de Arbitragem (Lei nº 9.307/1996). Mesmo assim, ele mantém o direito de levar o caso à Justiça comum.
Já a renúncia a ações coletivas, prevista no contrato, não tem validade, pois o Código de Defesa do Consumidor garante que esse direito é irrenunciável. Além disso, a menção ao julgamento por júri não se aplica ao país, já que esse tipo de julgamento ocorre apenas em processos criminais específicos.
Conforme apontado por outros usuários, os Termos de Uso no Sapphos aparentam seguir um padrão internacional e, logo, inválido por natureza no Brasil. Diante dos dados manipulados, tanto as diretrizes e regras para o tratamento quanto as medidas de segurança do aplicativo aparentam estar inadequadas segundo a LGPD.
Caso uma violação legal seja confirmada, o time responsável pelo Sapphos pode sofrer sanções, incluindo multa correspondente entre 2% a 10% do seu faturamento global. Além disso, em situações mais graves – como o uso ilícito dos dados –, também há possibilidade de penalidades criminais.
Sapphos deleta temporariamente seu aplicativo para Android e iOS
Poucas horas após a repercussão do caso, ainda nesta segunda-feira (8), a Sapphos comunicou que apagou temporariamente seu aplicativo, o removendo tanto da App Store quanto da Play Store. Breve, a publicação justifica que a decisão foi tomada para “focar em cibersegurança”, e que a prioridade “é e sempre será a comunidade”. Além disso, todas as usuárias que realizaram pagamentos na plataforma – com planos anuais que chegavam a R$ 500 – foram reembolsadas.
No entanto, com o aplicativo fora do ar, muitas das usuárias começaram a se questionar o que teria acontecido com seus dados ou como seria possível deletar suas contas. Outras críticas ainda pediam evidências que comprovassem que nenhum acesso indevido foi realmente feito.
Pouco após a meia-noite desta terça-feira (9), a equipe responsável confirmou que todos os dados foram deletados e que os respectivos comprovantes foram enviados por e-mail. Segundo a publicação, a intenção é reestruturar o aplicativo do zero e republicar uma versão melhorada.
O que fazer se me sentir afetada pelo Sapphos?
Se você é usuária da Sapphos e ainda está preocupada com potenciais vazamentos de dados, mesmo com o posicionamento do time responsável, é possível realizar uma denúncia pelos Serviços e Informações do Brasil do Gov.BR. Para isso, basta acessar o link adiante, e seguir as etapas na página.
Caso se assemelha com aplicativo Tea, nos Estados Unidos
Nas redes sociais, muitos usuários compararam a situação do Sapphos com outro aplicativo, Tea, pensado para que mulheres compartilhassem avaliações anônimas sobre homens. Em agosto deste ano, a plataforma sofreu um vazamento massivo, comprometendo mais de 72 mil imagens, incluindo selfies e documentos de identidade, além de mais de 1,1 milhão de mensagens privadas com conversas íntimas sobre temas delicados – como divórcio, aborto e violência sexual.
O conteúdo vazado rapidamente se espalhou na internet, aparecendo em fóruns e até em sites que ranqueavam fotos de verificação das usuárias. Apesar da gravidade do caso, o Tea continuou entre os aplicativos mais baixados da App Store, ocupando a quarta posição atrás apenas de ChatGPT, Threads e Google.
Conforme alerta o Business Insider, casos como o do Tea devem se tornar cada vez mais frequentes, especialmente com a popularização do chamado vibe coding — prática em que desenvolvedores usam inteligência artificial para criar aplicativos de forma rápida, muitas vezes sem revisar adequadamente a segurança do código. Nesse contexto, vale esclarecer que a causa do vazamento foi relacionada à má configuração de armazenamento em nuvem e a falhas de autenticação em APIs legadas.
Apesar de quaisquer semelhanças percebidas, é importante ressaltar que não há vazamento de dados confirmados no caso da Sapphos. Além disso, os ambientes afetados foram selados e os dados deletados, segundo uma publicação oficial.
TecMundo apoia o trabalho de hackers éticos
E você, tem algum relato similar ou denúncia? Envie uma mensagem em nossas redes sociais, ou nos e-mails: contato@adrianocamacho.com e denuncia@tecmundo.com.br.
