Nhìn ở mặt tích cực, Sarahah tạo điều kiện cho mọi người nói với nhau những điều bình thường không dám nói - Ảnh chụp màn hình

Theo trang The Intercept, quyền riêng tư đã bị xâm phạm ngay khi người dùng điện thoại thông minh tải ứng dụng này về từ kho ứng dụng của hệ điều hành Android, iOS.

Toàn bộ danh bạ, từ số điện thoại đến địa chỉ email của người sử dụng sẽ được tự động tải lên máy chủ của Sarahah mà không cần sự đồng ý của người chủ.

Nói một cách khác, bạn không hề hay biết tài nguyên cá nhân đã được sao lưu mà không hề có sự cảnh báo hay khuyến cáo từ nhà phát triển ứng dụng.

Điều này hoàn toàn trái ngược với các ứng dụng khác, người dùng có quyền cho phép hoặc từ chối cấp quyền cho ứng dụng truy cập vào những tài nguyên cá nhân trên điện thoại.

Sự việc chỉ được phát giác khi ông Zachary Julian - một nhà phân tích bảo mật làm việc tại Bishop Fox, tải Sarahah về và dùng thử.

Khi ông Julian tải nó về một chiếc điện thoại chạy Android, một phần mềm giám sát đã cảnh báo ông về việc Sarahah đang âm thầm tải dữ liệu cá nhân của ông về máy chủ. Ông Julian sau đó thử tải Sarahah về một chiếc iPhone và mọi thứ diễn ra y hệt sau đó.

Trong một vài trường hợp, ứng dụng này sẽ xin cấp quyền truy cấp danh bạ của người dùng nhưng không hề nói rõ toàn bộ thông tin trong danh bạ sẽ được tải lên máy chủ. Nhà bảo mật quyết định công khai câu chuyện với tờ The Intercept.

Nhà phát triển ứng dụng trên, ông Zain al-Abidin Tawfiq sau đó đã phải lên tiếng đính chính. Theo đó, việc thu thập danh bạ của người dùng là nhằm chuẩn bị cho tính năng "tìm kiếm bạn bè" của Sarahah. Tuy nhiên, vì một lỗi kỹ thuật, tính năng này chưa thể được sử dụng. 

Zain al-Abidin Tawfiq khẳng định "việc tải các dữ liệu cá nhân của người dùng sẽ chấm dứt trong lần cập nhật tới".

Sarahah là ứng dụng đến từ lập trình viên người Saudi Arabia. Chữ Sarahah trong tiếng Ả-Rập có nghĩa là "thẳng thắn, trung thực".

Ứng dụng nhắn tin nặc danh này không cho phép bạn trả lời trực tiếp mà phải thông qua chia sẻ lên mạng xã hội, ví dụ như Facebook để trả lời. 

Đã có ý kiến cho rằng Sarahah đang tiếp tay cho nạn "bắt nạt trực tuyến" khi người sử dụng (tức người được nhận tin nhắc) sẽ không biết ai là người gửi tin nhắn cho mình. Điều này cho phép những kẻ không ưa bạn có thể thoải mái dùng những từ ngữ nặng nề, xúc phạm bạn mà không lo bị bạn phát hiện.

Với hơn 10 triệu lượt tải về (chỉ tính riêng trên hệ điều hành Android), báo Fortune ước tính hàng trăm triệu số điện thoại, email trên toàn thế giới đã bị thu thập mà không có sự đồng ý của người dùng.

Trang này bình luận hi vọng nhà phát triển ứng dụng sẽ thay đổi chính sách riêng tư, hoặc ít nhất sử dụng các danh bạ đã được sao lưu cho việc phát triển hơn là "bán nó cho bên thứ ba".