Una de las aplicaciones de citas más populares del mundo es vulnerable al robo de datos de piratas informáticos; según han revelado los investigadores de seguridad. Esto se dio a conocer una vez que los investigadores en vpnMentor encontraron vulnerabilidades en la seguridad de Tinder; mediante el uso de su dominio; con otras plataformas en línea como Shopify, Yelp, Western Union que también fueron identificadas como en riesgo.
«Las vulnerabilidades de DOM-XSS encontradas en Tinder, Shopify, Yelp, Western Union e Imgur; y los riesgos de exposición de datos creados por ellos, ejemplifican los riesgos a los que están expuestos los consumidores en aplicaciones basadas en navegador«, dice Rusty Carter, vicepresidente de Gestión de productos en la empresa de seguridad de aplicaciones Arxan.
La seguridad de Tinder siendo vulnerable
La vulnerabilidad ha sido encontrada por hackers de sombrero blanco, pero en las manos equivocadas podría ser peligrosa. A través de la adición de un error de secuencias de comandos entre sitios, que está disponible en go.tinder.com, los piratas informáticos malintencionados podrían insertar un fragmento de código de secuencias de comandos para robar datos de usuarios y secuestrar cuentas.
Las múltiples vulnerabilidades XSS encontradas por vpnMentor podrían utilizarse para explotar no solo los datos personales de los usuarios en estas plataformas, sino también las imágenes, el comercio electrónico y las transferencias de dinero. La falla de seguridad encontrada es parte del servicio de internet branch.io, que se usa ampliamente en la web y podría poner en riesgo a 685 millones de personas.
La magnitud de esta vulnerabilidad no debe ser subestimada. Recordemos que la violación de la aerolínea Magecart en septiembre de 2018, a través de unas pocas líneas de codificación, dejó a casi 400.000 personas expuestas a los datos financieros.
La falla de seguridad fue reportada a branch.io, quien declaró que pudo solucionar el problema de seguridad antes de que los datos de los usuarios fueran expuestos o explotados; sin embargo, el peligro sigue siendo real. La información de la aplicación de citas, como la disponible en Tinder, no solo contiene información financiera, sino también puntos de datos como la orientación sexual y el estado de la relación.
Esta falla en la seguridad de Tinder se ha corregido según la información actual disponible, sin embargo, arroja una luz importante sobre la importancia continua de la privacidad de los datos del usuario.
Qué es Tinder
Tinder es una aplicación geosocial que permite a los usuarios comunicarse con otras personas; con base en sus preferencias para charlar y concretar citas o encuentros.
Fue lanzada en agosto de 2012 por Sean Rad, Justin Mateen, Jonathan Badeen, Joe Munoz, Dinesh Moorjani y Whitney Wolfe.
La aplicación se probó inicialmente en los campus universitarios; y eso ocurrió por primera vez en la Universidad del Sur de California. Es considerada una de las aplicaciones de citas más importantes del mercado digital; y en 2014 fue nominada App del Año en los Premios Enter.Co, con más de 50 millones de usuarios.2
Tinder dispone de una interfaz de usuario que muestra sucesivamente diferentes perfiles de otros usuarios. El usuario desliza el dedo por sobre la pantalla de un smartphone a la derecha para indicar interés por esa persona; y a la izquierda si no está interesado, todo ello de forma anónima.
Si dos usuarios están interesados en sí, ambos son informados; y se les permite iniciar la conversación a través del chat interno de la aplicación.
