TechCrunch ha scoperto che chiunque fosse registrato al servizio poteva accedere non solo al proprio profilo, ma anche a quello degli altri utenti. La vulnerabilità non era frutto di un attacco esterno, bensì di un errore di configurazione dei server che non autenticavano correttamente le richieste. Bastava un minimo di competenza tecnica per visionare numeri di telefono, registrazioni complete delle chiamate, trascrizioni dettagliate e persino i metadati legati a durata e orario delle conversazioni. In pratica, file accessibili tramite link pubblici, senza alcun reale sistema di protezione.
Peraltro, l'inchiesta ha anche rivelato come moltissimi utenti stessero ingannando il sistema, creando telefonate estremamente lunghe con l'unico scopo di guadagnare soldi.
Dopo che la notizia è stata resa pubblica, l'app è stata rapidamente messa offline e rimossa dall'App Store e del Play Store di Google. Non è chiaro se e quando farà il suo ritorno. Per il momento, gli sviluppatori di Neon si dicono ottimisti: con un messaggio, l'azienda ha fatto sapere che intende prendersi del tempo per poter aggiungere ulteriori livelli di sicurezza. Per la cronaca, il messaggio non menziona in alcun modo né la falla, né la possibilità che i dati degli utenti siano stati esposti al pubblico. Il che è ovviamente particolarmente grave.
The UK announces mandatory digital ID plans