Hace seis meses, un desarrollador descubrió una vulnerabilidad en Grindr que permitía saber la ubicación en tiempo real de las personas, si tenían o no el VIH y saber qué contactos habían bloqueado tu perfil. Además, se conoció después que la compañía estaba compartiendo algunos de estos datos con terceros.
Sin embargo, entonces la compañía aseguro haber resuelto los problemas, y dejar de compartir datos con terceros. Pero ahora se ha descubierto un fallo en la API de Grindr que permite seguir conociendo en tiempo real y con un alto nivel de precisión la ubicación de los usuarios.
Una puerta para terceros en la API privada
El
problema reside en un fallo de la compañía al bloquear el acceso a su API privada por parte de terceros. El acceso a estos datos entre los que se encuentra la ubicación de los usuarios de manera más o menos precisa, permite que cualquier persona con conocimientos necesarios (entre ellos el uso de técnicas de trilateración), pueda descubrir dónde se encuentra cada usuario en cada momento.
El portal Queer Europa ha recogido estas herramientas, y advierte de que es posible aún conocer la ubicación exacta de millones de hombres en Grindr, el tipo de cuerpo, su posición sexual favorita y su estado de VIH, entre otras, siendo éstas opciones que la compañía permite dar a conocer pero que deberían estar protegidas.
La principal herramienta para conseguir estos datos era ‘Fuckr’, un código disponible en GitHub desde 2015 y que terminó eliminando la compañía que ahora es una parte de Microsoft. En ese momento, GitHub alegaba que eliminaba el código por que permitía un acceso no autorizado a la API de Grindr, aunque el portal especializado en el colectivo LGTG en Europa señala que muchos usuarios han descargado este código y han creado forks, es decir, códigos idénticos a excepción del número de proceso (PID), y que siguen activos en la plataforma. Además de que Fuckr continua operativa, permitiendo hasta 600 peticiones por segundo a la API de Grindr.
Localización milimétrica
Esto permite rastrear casi en tiempo real la ubicación exacta de los usuarios de la plataforma, y sobreponerla en un mapa interactivo.
Tras conocerse las informaciones de hace seis meses, la plataforma lanzó un comunicado asegurando que protege a sus usuarios con “tecnología líder en la industria” y que ofrece una capa adicional de seguridad que oculta las ubicaciones exactas de los usuarios, mostrando sencillamente un área aproximado.
Sin embargo, desde Queer Europe apunta a que puede conocerse la posición exacta de una persona con una precisión de dos a cinco metros. El motivo, según señalan desde el portal, es que Grindr emplea geohashes de 12 caracteres para ubicar a sus usuarios, es decir, una precisión prácticamente milimétrica ya que genera un área de 37x18 centímetros.
"Aún es posible localizar usuarios en muchos países" que persiguen las prácticas homosexuales
Este fallo en la ciberseguridad de la plataforma altamente grave, no sólo por el hecho de exponer la posición en tiempo real a terceros de una persona, sino a la relación del colectivo LGTB y distintos gobiernos del mundo donde sus sentimientos son perseguidos con penas de cárcel o de muerte, por tanto, la posibilidad de que un gobierno contrario a estas libertades sexuales pueda acceder a la posición en tiempo real de los usuarios, abriendo así una veda a la represión en países homofóbicos, como puedan ser Rusia, Nigeria, Egipto, Iraq o Arabia Saudí, países además donde la compañía ya inhabilitó la función de distancia para evitar esto.
Sin embargo, “aún es posible localizar usuarios en muchos otros países, como Argelia, Turquía, Bielorrusia, Etiopía, Qatar, Abu Dabi, Omán, Azerbaiyán, China, Malasia e Indonesia”, países donde se persiguen las prácticas homosexuales, advierten desde Queer Europe.
Si (
No(
