De populaire Android- en iOS-app Sarahah blijkt zonder dit aan gebruikers te melden telefoonnummers en e-mailadressen uit hun adresboek te uploaden, zo ontdekte onderzoeker Zachary Julian van securitybedrijf Bishop Fox. Sarahah is een app om anoniem "eerlijke feedback" van vrienden en werknemers te ontvangen. Het heeft op Android tussen de 10 en 50 miljoen installaties en meer dan 60.000 beoordelingen.

Op iOS staat het op de 51ste plek van meest gedownloade gratis apps. "Zodra je op de applicatie inlogt, verstuurt het alle e-mail- en telefooncontacten op het Android-besturingssysteem", laat Julian tegenover The Intercept weten. Hetzelfde vindt plaats op iOS, hoewel de app wel om toegang tot de contacten vraagt. Als de app enige tijd niet is gebruikt worden de gegevens opnieuw geupload. Gebruikers krijgen echter geen melding dat de gegevens worden verstuurd. In het privacybeleid staat nadrukkelijk vermeld dat als de app gebruikersgegevens gaat gebruiken, het hier toestemming om vraagt.

De app-ontwikkelaar wilde in eerste instantie niet tegenover The Intercept reageren. Na publicatie van het artikel over de app liet de app-ontwikkelaar op Twitter weten dat de functionaliteit verwijderd zou worden. Het was eigenlijk bedoeld als feature om vrienden te vinden, maar werd geplaagd door technische problemen. Een partner met wie de app-ontwikkelaar samenwerkte zou de functionaliteit uit de app verwijderen, maar had dit over het hoofd gezien. De gegevens zouden echter niet op de server worden opgeslagen. Het is echter onmogelijk om dit te verifiëren, aldus The Intercept. De feature zal nu in een toekomstige versie worden verwijderd.