Más de 1,5 millones de usuarios de un servicio de citas grupales tuvieron sus datos personales expuestos, incluida su ubicación en tiempo real, debido a una vulnerabilidad en la aplicación.
La aplicación, 3fun, se anuncia a sí misma como un "espacio privado" en el que puedes conocer a "personas locales pervertidas y de mente abierta". Pero los datos no eran privados en absoluto. Ken Munro, fundador de Pen Test Partners, que publicó la investigación el jueves y compartió sus hallazgos con TechCrunch, dijo que era "probablemente la peor seguridad para cualquier aplicación de citas que hayamos visto".
Los investigadores de Pen Test Partners descubrieron que la aplicación estaba filtrando la ubicación precisa, las fotos y otros detalles personales de cualquier usuario cercano.
Peor aún, debido a que la aplicación no estaba asegurada adecuadamente, los investigadores descubrieron que podían conectar cualquier coordenada que quisieran falsificar su ubicación, revelando información confidencial sobre cualquier persona dentro de cualquier ubicación de su elección, incluidos edificios gubernamentales, bases militares e incluso agencias de inteligencia. .
TechCrunch ejecutó las mismas pruebas que Pen Test Partners y confirmó sus hallazgos. Pudimos modificar nuestra geolocalización actual a cualquier conjunto de coordenadas que quisiéramos, incluida la Casa Blanca y la CIA.
Usando una herramienta de hombre en el medio como Burp Suite, podríamos capturar nuestra ubicación real, manipularla en tránsito en el camino hacia el servidor y recibir un lote de datos para esa ubicación.
Uno de los registros de usuario expuestos (izquierda) y una representación aproximada de varios usuarios (derecha).
Encontramos perfiles de usuarios en ambas ubicaciones, incluidas sus preferencias sexuales, incluida la orientación sexual y sus parejas preferidas; su edad; nombre de usuario y el nombre de usuario de su pareja; su biografía, muchas de las cuales incluían información expansiva, específica y personal sobre el usuario; y su foto de perfil de resolución completa. En algunos casos, las fechas de nacimiento también estuvieron expuestas.
Ninguno de los datos fue encriptado. Los investigadores llamaron a la aplicación un "choque de trenes de privacidad".
Los investigadores contactaron a 3fun el 1 de julio para informar sobre los errores. Munro dijo que el fabricante de la aplicación tardó semanas en solucionar los problemas.
Le enviamos un correo electrónico a 3fun con varias preguntas, pero la portavoz Jennifer White no respondió a una solicitud de comentarios.
Es la última aplicación que no cumple con los estándares de seguridad adecuados en los últimos meses. La aplicación de citas judía JCrush dejó 200,000 registros de usuarios expuestos en junio después de un lapso de seguridad. El año pasado, en su día de lanzamiento, la aplicación de citas conservadora Donald Daters expuso toda su base de usuarios, en ese momento unos 1.600 usuarios, después de dejar un conjunto de claves codificadas en su aplicación, que se encontró rápidamente después de que un investigador de seguridad descompilara la aplicación.
Otra aplicación de citas, Coffee Meets Bagel, fue violada el día de San Valentín, nada menos.
Bueno, esa es una forma de llegar al corazón de una persona: piratear su perfil de citas.
Source link