O famoso aplicativo de relacionamento OkCupid, com cerca de cinco milhões de membros ativos, vazou informações pessoais de seus usuários. Essa falha foi descoberta por um grupo de especialistas do site CyberNews que, em poucos testes, conseguiu facilmente mapear o último ID de localização de qualquer usuário.
Com essa falha, era possível que qualquer pessoa localizasse onde o usuário estava efetuando login, revelando potencialmente seu endereço residencial ou comercial. A equipe conseguiu acessar esses dados de localização com processos de proxy MITM (man-in-the-middle), interceptando comunicações do app OkCupid com os servidores da empresa.
Ao realizar esse processo várias vezes seguidas, a equipe conseguiu determinar com precisão a localização do usuário em um raio de 10 a 20 metros. Isso foi possível porque essa localização era automaticamente atualizada enquanto ele estivesse online.
A CyberNews disse que comunicou a OkCupid sobre essa falha de segurança. Contudo, a empresa não respondeu informando se havia corrigido o problema ou não. No entanto, análises posteriores do CyberNews mostraram que o rastreamento por ID havia sido removido.
Apesar disso, ainda não se sabe por quanto tempo essa vulnerabilidade permaneceu ativa no aplicativo ou quantos dos milhões de usuários (sobretudo mulheres) foram afetados.
Como parte de sua pesquisa, voltada para o Dia Internacional da Mulher, a equipe do CyberNews descobriu que 88% das mulheres que usam apps de namoro já foram assediadas alguma vez, e mais de 7 em cada 10 mulheres temem ser perseguidas por alguém com quem estão conversando online. Diante disso, essa falha pode ter colocado mulheres que usam o OkCupid em circunstâncias constrangedoras e até mesmo em situações de risco.
Categorias