O Tinder é um app para iOS e Android que sugere pessoas para você marcar um encontro: basta tocar em ✓ nas que mais lhe interessarem, e se elas tiverem interesse em você também, o app avisa que vocês combinaram. O Tinder usa seu perfil do Facebook e sua localização para encontrar alvos geograficamente próximos.
O problema é que, segundo a BusinessWeek, uma falha de segurança expôs a latitude e longitude exatas dos usuários entre 40 e 165 dias – e a empresa não avisou nada.
… pesquisadores da Include Security descobriram que os servidores do Tinder davam informações muito mais detalhadas – como distância em até 15 casas decimais – que permitiria a qualquer hacker com habilidades “rudimentares” identificar a localização de um usuário num raio de 30 m. Dependendo do bairro, isso é perto o bastante para determinar com precisão alarmante onde, digamos, está uma ex-namorada.
45% dos usuários do Tinder são mulheres. Sua popularidade entre elas é em parte devido à percepção da segurança que ele oferece, pois ninguém sabe o local exato delas.
Em seu blog, a Include Security entra em detalhes sobre como um stalker podia explorar o recurso para encontrar um “alvo”: basicamente, era só usar a API do jeito certo, sem muita dificuldade.
Depois de encontrar a brecha, a empresa Include Security esperou durante meses por uma resposta do Tinder:
[Erik Cabetas] diz que sua empresa informou a vulnerabilidade ao Tinder em 23 de outubro de 2013, e só obteve uma resposta relevante em 2 de dezembro, quando um funcionário do Tinder pediu mais tempo para corrigir o problema. A falha foi corrigida antes de 1º de janeiro de 2014, diz Cabetas. O Tinder não fez qualquer aviso ao público sobre o problema.
A empresa só se pronunciou publicamente após o caso chamar a atenção da imprensa. O CEO do Tinder, Sean Rad, diz em comunicado à imprensa:
A Include Security identificou uma falha técnica que, teoricamente, poderia levar ao cálculo da última localização conhecida de um usuário. Pouco depois de sermos contatados, o Tinder implementou medidas específicas para reforçar a segurança e obscurecer mais os dados de localização… Nós não estamos cientes de qualquer outra pessoa que tenha usado esta técnica. A privacidade e segurança dos nossos usuários continuam a ser nossa maior prioridade.
O Tinder também ficou quieto sobre um problema de segurança em julho. Depois, eles falaram que a brecha durou apenas horas, quando na verdade continuou por semanas. [Include Security via BusinessWeek]