Quando se trata de desenvolvimento de APIs, segurança deve ser uma das principais preocupações dos desenvolvedores. Caso a segurança não seja devidamente realizada, diversos dados podem ser expostos e causar dor de cabeça aos provedores.

Foi o que (quase) aconteceu com os recém lançados sites das celebridades norte-americanas Kardashians. Cada uma das irmãs – Kim, Khloe, Kendall e Kylie – lançou um site próprio acompanhado de um app e, segundo artigo publicado no Medium, os sites continham uma falha que permitia usuários com experiência em programação acessarem dados de usuários inscritos neles.

Quem descobriu a falha no servidor da API foi Alaxic Smith, CEO e co-fundador do Communly. Segundo ele, era possível acessar nome e sobrenome dos usuários inscritos com seus endereços de e-mail, além de poder criar ou destruir usuários, fotos e vídeos nos sites. Alaxic também conseguiu o número exato de inscritos em cada site que, mais do que revelar qual das irmãs tem maior apelo público (Kylie Jenner com 663,270 inscritos) e qual tem o menor (Kendall Jenner com 50,756), revela a gravidade da falha no endpoint, já que milhares de pessoas tiveram seus dados pessoais expostos. 

A empresa responsável pela criação dos sites e dos apps, Whalerock Digital Media, foi notificada do problema e o corrigiu rapidamente, evitando que os dados expostos fossem utilizados por pessoas com segundas intenções.

Não é à toa que hoje seja comum empresas recompensarem desenvolvedores que encontram bugs nas APIs – Google, Facebook e Dropbox já adotaram a estratégia (saiba mais aqui), evitando prejuízos no serviço que oferecem e fortalecendo a comunidade de devs.