Un denunciante anónimo alerta de fallos de seguridad en Grindr que podrían poner en situaciones de riesgo a sus usuarios
Nueva denuncia de un fallo de seguridad en Grindr, la conocida aplicación de contactos (en 2012 ya informamos de otra importante incidencia). En esta ocasión, es un denunciante anónimo el que ha alertado a sus usuarios de que es posible acceder a su localización exacta y precisa desde cualquier lugar del mundo. Algo especialmente peligroso si se usa la aplicación en alguno de los muchos países en los que mantener relaciones homosexuales es delito.
«Puedes vivir en un país en que usar Grindr no supone un gran problema, pero hay países como Sudán o Yemen en los que hay leyes contra los homosexuales que pueden traerte muy graves consecuencias, como la pena de muerte. Saber que de forma innecesaria estás poniendo en grave riesgo a los usuarios en países así debería bastar para que Grindr cambiara su sistema», denuncia el que parece ser un «hacker benefactor» en pastebin.com. El denunciante anónimo afirma que Grindr conoce el fallo desde hace meses pero no ha hecho nada para solucionarlo y se lamenta de que la empresa haya dejado de lado su responsabilidad social.
Según explica el denunciante, resulta sencillo acceder a la información del sistema de geolocalización de Grindr sin una verificación segura de identidad, de forma que solicitando la distancia a la que se encuentra un usuario desde tres puntos distintos, es posible localizar su ubicación exacta mediante trilateración. Es por eso que recomienda desactivar la opción que permite mostrar tu localización. Pero es más, el denunciante afirma que existe un agujero en los protocolos de seguridad del chat de Grindr que permitiría a un hacker malicioso suplantar la identidad de un usuario y contactar con otro sin que el «dueño verdadero» de dicha identidad reciba notificación alguna.
El denunciante también ha abierto un perfil en Twitter y ha colgado incluso un vídeo en YouTube en el que muestra como es posible desde cualquier punto del mundo encontrar la localización exacta de algunos usuarios:
Grindr niega que existan tales fallos…
“No consideramos esto un fallo de seguridad. Los usuarios de Grindr comparten información sobre su localización con otros usuarios, forma parte de la funcionalidad principal de la aplicación, y los usuarios pueden controlar cómo se presenta esta información», ha declarado un portavoz de Grindr.
«A los usuarios preocupados por mostrar su localización cercana, se lo ponemos muy fácil, basta con desactivar esta opción en su configuración de privacidad. Como siempre, la seguridad de nuestros usuarios es nuestra prioridad número uno y empleamos nuestro máximo esfuerzo en mantener a nuestra comunidad segura”, ha añadido.
… pero algo parece haber cambiado
Sin embargo, algo parece haber cambiado. Según un tuit del denunciante, Grindr ha reforzado la seguridad de sus servidores y desde hace unas horas ya no resulta posible suplantar una identidad. El denunciante advierte sin embargo que «es aún posible» acceder a la localización de los usuarios.
Y lo hace público? Y explica como se hace? Dónde està la responsabilidad social de ese hacker benefactor?
Estoy de acuerdo con el comentario anterior. Comentar públicamente un fallo de seguridad antes que la empresa lo arregle puede dejar gravemente desprotegidos a un montón de gente.
Gravemente desprotegida, perdón.
A mí me parece que hizo lo responsable. Primero avisó a la empresa, la empresa no hizo nada, y como segunda medida lo hizo público para que al menos la gente esté alerta.
Por otro lado no parece que sea un fallo muy difícil de encontrar, así que con no decirlo tampoco dejaba a los usuarios mucho más protegidos.
Lo de poner el mapa así tan dispuesto quizá ya es un poco más cuestionable, pero bueno, no deja de servir para mostrar la gravedad de la situación.