www.zonamovilidad.es

El servicio Branch.io lo utilizan compañías como Tinder o Yelp, entre otras

Una vulnerabilidad en Branch.io deja expuestos los datos de más de 685 millones de usuarios
Ampliar

Una vulnerabilidad en Branch.io deja expuestos los datos de más de 685 millones de usuarios

Por Alfonso de Castañeda
x
alfondcctelycom4com/8/8/17
martes 16 de octubre de 2018, 20:12h

Escucha la noticia

Un error DOM-XXS en el servicio Branch.io, que utilizan firmas como Tinder, Yelp o Shopify, entre otras, ha podido afectar a más de 685 millones de usuarios.

Los fallos, revelados por los investigadores de vpnMentor, podrían haber permitido el acceso a los perfiles de los usuarios de Tinder.

“Después de que se realizaran los pasos iniciales de reconocimiento, se encontró un dominio Tinder con múltiples problemas de seguridad en el lado del cliente, lo que implica que los piratas informáticos podrían tener acceso a los perfiles y datos de los usuarios” explican en su análisis vpnMentor. “Inmediatamente después de encontrar estas vulnerabilidades, contactamos a Tinder a través de su programa de divulgación responsable y comenzamos a trabajar con ellos”, han señalado.

El equipo de Branch.io ya ha resuelto el fallo

Finalmente y tras las conversaciones con la app de citas, “descubrimos que el endpoint vulnerable no era propiedad de Tinder, sino de branch.io, una plataforma de atribución empleada por muchas grandes corporaciones en todo el mundo. El equipo de seguridad de Tinder nos ayudó a ponernos en contacto con ellos y, en consecuencia, parchearon el fallo”.

El equipo de seguridad de Tinder llevó a cabo una investigación y descubrió que el dominio go.tinder.com era en realidad un alias para custom.bnc.lt, propiedad de Branch.io.

Usuarios de Tinder, Shopify, Yelp, Western Union e Imgur afectados

Branch.io proporciona actualmente una plataforma de enlace móvil con soluciones que unifican la experiencia del usuario y la medición en diferentes dispositivos, plataformas y canales. Un gran número de grandes compañías emplean un alias para señalar el mismo dominio, custom.bnc.lt, entre las que se encuentran gigante como Yelp, Western Union, Shopify, RobinHood, Letgo, imgur, Lookout, fair.com y Cuvva.

Según apunta vpnMentor, los fallos pueden haber afectado a 685 millones de personas que emplean los servicios vulnerables. Y es que el XSS basado en DOM descubierto por los expertos habría sido fácil de explotar en muchos navegadores web y además los investigadores apuntan a que Branch.io no uso una Política de seguridad de contenido (CSP).

"Hasta 685 millones de usuarios (de apps como Shopify, Yelp, Western Union, Tinder e Imgur) podrían estar en riesgo"

“Al profundizar, descubrimos que muchos sitios web grandes compartían el endpoint vulnerable en su código y dominios, incluidos Shopify, Yelp, Western Union e Imgur. Esto significa que hasta 685 millones de usuarios podrían estar en riesgo", advierten los expertos.

Ante esta grave vulnerabilidad, los expertos instan a que los usuarios de estas aplicaciones cambien sus contraseñas por precaución y que revisen sus cuentas. "Si bien el fallo ya se ha solucionado, si recientemente ha utilizado Tinder o cualquiera de los otros sitios afectados, le recomendamos que verifique que su cuenta no haya sido comprometida. Es una buena idea cambiar su contraseña lo antes posible", aseguran.

¿Te ha parecido interesante esta noticia?    Si (0)    No(0)

+
0 comentarios