‘Lek in Tinder onthulde locatie gebruikers tot 30 meter nauwkeurig’

Dankzij een kwetsbaarheid in de servers van de populaire dating-app Tinder was het lange tijd mogelijk om nagenoeg de exacte locatie van een gebruiker te achterhalen. Dat stellen beveiligingsonderzoekers van het Amerikaanse Include Security tegenover BusinessWeek. Hoewel Tinder het lek niet naar buiten heeft gebracht, zou er inmiddels geen gevaar voor gebruikers meer bestaan, zo stellen verschillende onderzoekers.

Hoe lang het lek precies heeft bestaan is niet helemaal duidelijk. Include Security zegt het lek op 23 oktober 2013 aan Tinder te hebben gemeld, maar kreeg pas op 2 december een eerste reactie waarin een medewerker om ‘meer tijd’ vroeg om het probleem te verhelpen. Ergens begin dit jaar is het lek vervolgens gedicht, zo stelt oprichter Erik Catebas. Maar de Nederlandse beveilingsonderzoeker @LaurensKoot concludeerde op basis van een eigen test dat het lek begin november al is opgelost, en dus niet pas begin dit jaar. Tinder was wel op de hoogte van het lek, maar heeft nagelaten om de gebruikers hierover te informeren. Het beveiligingsbedrijf geeft bedrijven normaal gesproken 3 maanden de tijd om een lek te dichten of gebruikers hierover te informeren. Daarna zoekt het de publiciteit op.

De populaire dating-app wordt vaak een vleeskeuring genoemd. Je ziet wie er in de buurt is en met één veegbeweging kan je iemand goedkeuren of afkeuren. Bij matches wordt wel de afstand bij benadering gegeven, maar die is niet nauwkeurig. Door de kwetsbaarheid bleek het echter mogelijk om de locatie van een gebruiker tot wel 30 meter nauwkeurig weer te geven, terwijl de gebruiker hiervoor geen toestemming heeft gegeven.

Max Veytsman, die werkzaam is bij Include Security en het lek ontdekte, beschrijft de kwetsbaarheid op zijn blog en in een YouTube-video. Volgens Veytsman wordt de huidige locatie van een gebruiker zeer nauwkeurig in een apart veld opgeslagen, maar niet in de app getoond. Met slechts ‘basiskennis’ van webontwikkeling zou iedereen in theorie de locatie van een persoon kunnen achterhalen. “Het is geen ingewikkelde manier”, aldus oprichter Cavetas.

Volgens BusinessWeek is het niet de eerste keer dat de locaties en andere gevoelige data van Tinder-gebruikers toegankelijk bleken. In juli bleken de exacte coördinaten van een gebruiker zeker twee weken toegankelijk. Tinder zelf stelde toen dat de gevoelige informatie slechts ‘enkele uren’ beschikbaar was. In november volgde een soortgelijke situatie toen bleek dat code van Tinder gemanipuleerd kon worden om het e-mailadres van een gebruiker prijs te geven.

Populaire chat-apps liggen de laatste tijd flink onder vuur als het om privacy en beveiliging gaat. In december vorig jaar bleek het voor kwaadwillenden mogelijk om telefoonnummers en andere accountinformatie van Snapchat te achterhalen. Later bleken gebruikersnamen en telefoonnummers van 4,6 miljoen Snapchat-gebruikers te zijn gelekt. Snapchat bleek al sinds augustus op de hoogte van het lek, maar het werd pas begin januari met een aparte update gedicht.