Dziurawy Tinder umożliwia wyciek zdjęć i wrażliwych danych użytkowników

Mogłoby się wydawać, że Tinder, jako najpopularniejsza na świecie usługa do randkowania, priorytetowo traktować będzie bezpieczeństwo danych użytkowników. Jak się okazuje nic bardziej mylnego. Dowiedli tego badacze z Izraela, którzy odkryli brak podstawowego szyfrowania HTTPS dla zdjęć. Co więcej, oprócz możliwego wycieku fotografii, druga luka pozwala na gromadzenie informacji o przesunięciach czy tzw. matchach.

Badacze z Checkmarx, izraelskiej firmy zajmującej się bezpieczeństwem, dowiedli, że wystarczy połączyć się do tej samej sieci Wi-Fi, z której akurat korzysta ofiara, by możliwe było zdobycie dostępu do fotografii. Co prawda reszta informacji jest szyfrowana, jednak jak się okazuje, nie na tyle skutecznie, żeby uniemożliwić odczytanie pozostałych wrażliwych danych. Erez Yalon z Checkmarx stwierdził nawet, że możliwe jest stworzenie symulacji przedstawiającej wszystko to, co ofiara widzi na ekranie swojego smartfonu.

By dowieść swojej teorii, badacze stworzyli program TinderDrift. Jak pokazuje film umieszczony na YouTube, pozwala on na bezproblemowe przechwytywanie fotografii. Na podstawie rozmiaru odpowiedzi z serwera możliwe jest ustalenie zachowania ofiary. jeżeli ofiara przesuwa czyiś profil w lewo (odrzucenie), zaszyfrowana informacja będzie miała 278 bitów, z kolei wartość 374 oznaczać będzie przesunięcie w prawo (polubienie). W ten sam sposób można uzyskać informacje o matchach oraz superlajkach.

Mimo że firma Checkmarx już w listopadzie ubiegłego roku poinformowała Tindera o możliwych konsekwencjach tych dwóch podatności, luki do dzisiaj nie zostały załatane. O komentarz w sprawie poprosił dziennikarz portalu WIRED. Rzecznik Tindera stwierdził, że brak szyfrowania zdjęć nie jest istotny, gdyż i tak z założenia są one publiczne. Rzecznik dodał również, że w wersji webowej zdjęcia użytkowników są już szyfrowane.

Przedstawiciele Checkmarx twierdzą jednak, że szyfrowanie protokołu HTTP dla zdjęć to zdecydowanie za mało. W celu zapewnienia podstawowej ochrony swoim użytkownikom zalecają, by odpowiedzi z serwera miały identyczny rozmiar, co w efekcie uniemożliwi odczytanie ich zawartości. Proste, jednak sądząc po bagatelizującym tonie odpowiedzi ze strony Tindera, długo jeszcze przyjdzie czekać na odpowiednie kroki.