La aplicación de citas Tinder ayuda a sus usuarios a encontrar el amor –y aventuras– pero un investigador reveló esta semana que un error de seguridad fácil de explotar dejó cuentas y chats privados expuestos a hackers.
El ingeniero indio Anand Prakash, un cazador de errores de aplicaciones, dijo en una publicación de Medium el miércoles 20 de febrero que una falla en un programa vinculado a Facebook llamado Account Kit permitía a los atacantes acceder a perfiles utilizando únicamente el número de teléfono.
Account Kit, implementado en Tinder, es utilizado por los desarrolladores para permitir a los usuarios iniciar sesión en una variedad de aplicaciones usando detalles móviles o direcciones de correo electrónico sin una contraseña.
Pero, hasta hace poco, había un error en este proceso que, según Prakash, podía permitir a los piratas informáticos comprometer los “tokens de acceso” de las cookies de los usuarios (pequeños datos en computadoras que recuerdan la actividad de navegación mientras las personas navegan por internet). El atacante podría explotar un error en Tinder para usar el token, que almacena detalles de seguridad, e iniciar sesión en la cuenta de citas con poco alboroto.
“El atacante básicamente tiene control total sobre la cuenta de la víctima ahora”, escribió Prakash. “Puede leer chats privados, información personal completa, deslizar otros perfiles de usuario hacia la izquierda o hacia la derecha”.
El hacker ético, que en el pasado fue galardonado por encontrar errores en sitios populares, dijo que los problemas se resolvieron rápidamente después de ser revelados de manera responsable. Bajo las condiciones del botín de errores, Prakash recibió 5,000 dólares de Facebook y 1,250 de Tinder. Subió un breve video de YouTube que muestra el truco en acción.
Las empresas en línea utilizan cada vez más las bonificaciones de errores para permitir que los investigadores informen sobre cuestiones de seguridad a cambio de recompensas financieras.
En una declaración a The Verge, un vocero de Facebook dijo: “Rápidamente abordamos este tema y estamos agradecidos con el investigador que lo llamó nuestra atención”.
Tinder dijo que no discute problemas de seguridad que podrían “alertar a hackers maliciosos”.
A principios de este año, el 23 de enero, el Equipo de Investigación de Seguridad de Checkmarx detectó un conjunto diferente de vulnerabilidades “perturbadoras” en las aplicaciones Android e iOS de Tinder.
Los expertos dijeron que los hackers podrían usarlos para tomar el control de las imágenes de perfil y cambiarlas por “contenido inapropiado, publicidad deshonesta u otro tipo de contenido malicioso”. La empresa afirmó que los atacantes podrían “monitorear cada movimiento” del usuario en la aplicación.
En ese momento, escribió: “Un atacante que se dirija a un usuario vulnerable puede chantajear a la víctima, amenazando con exponer información altamente privada del perfil Tinder del usuario y las acciones en la aplicación”.
Tinder, lanzado por primera vez en 2012, ahora cuenta con un estimado de 50 millones de usuarios en todo el mundo, con aproximadamente el 40 por ciento en Estados Unidos. En su sitio web, afirma facilitar un millón de citas cada semana, con usuarios alcanzando 1.6 mil millones de deslices por día.
—
Publicado en cooperación con Newsweek / Published in cooperation with Newsweek
