Aplicación de citas para gays expone imágenes y datos privados a la internet

Jack’d, un chat y aplicación de citas para hombres gays y bisexuales, con más 5 millones de usuarios y que se jacta de ser la “aplicación de citas más grande del mundo y la más diversa culturalmente” expone imágenes (íntimas nivel potope), ubicación y otros datos de sus usuarios. Jack’d, expuso imágenes publicadas por los […]

Jack’d, un chat y aplicación de citas para hombres gays y bisexuales, con más 5 millones de usuarios y que se jacta de ser la “aplicación de citas más grande del mundo y la más diversa culturalmente” expone imágenes (íntimas nivel potope), ubicación y otros datos de sus usuarios.

Jack’d, expuso imágenes publicadas por los usuarios y marcadas como “privadas” en sesiones de chat abiertas a la Internet, lo que potencialmente expone la privacidad e identidad de miles de usuarios. Las fotos se cargaron en un bucket AWS S3 accesible a través de una conexión web no segura, identificada por un número secuencial. Simplemente atravesando el rango de valores secuenciales, fue posible ver todas las imágenes cargadas por los usuarios de Jack’d, públicas o privadas. Además, los datos de ubicación y otros metadatos sobre los usuarios estaban accesibles a través de las interfaces no seguras de la aplicación para los datos de back-end.

El servicio de almacenamiento de Amazon Web Services, Simple Storage Service, potencia innumerables aplicaciones web y móviles. Desafortunadamente, muchos de los desarrolladores que crean esas aplicaciones no protegen adecuadamente sus “almacenes” de datos S3, dejando los datos del usuario expuestos, a veces directamente a los navegadores web. Y si bien eso puede no ser un problema de privacidad para algunos tipos de aplicaciones, es potencialmente peligroso cuando los datos en cuestión son fotos “privadas” compartidas a través de una aplicación de citas.

En este caso, el resultado fue que las imágenes privadas e íntimas, incluidas imágenes de genitales y fotos que revelaron información sobre la identidad y ubicación de los usuarios, se expusieron a la vista del público. Debido a que las imágenes fueron recuperadas por la aplicación a través de una conexión web insegura, podrían ser interceptadas por cualquiera que esté monitoreando el tráfico de la red. Y como los datos de ubicación y los datos de identificación del teléfono también estaban disponibles, los usuarios de la aplicación podrían ser blancos de ataques fácilmente.

Oliver Hough descubrió los problemas con Jack’d mientras analizaba aplicaciones de citas, ejecutándolas a través de la herramienta de pruebas de seguridad web Burp Suite. “La aplicación (Jack’d) te permite subir fotos públicas y privadas, las fotos privadas que dicen son privadas hasta que las” desbloqueas “para que alguien las vea”, dijo Hough. “El problema es que todas las fotos cargadas terminan en el mismo bucket S3 (de almacenamiento) con un número secuencial como el nombre”. La privacidad de la imagen está determinada aparentemente por una base de datos utilizada para la aplicación, pero el grupo de imágenes sigue siendo público.

Hough creó una cuenta y publicó imágenes marcadas como privadas. Al observar las solicitudes web generadas por la aplicación, Hough notó que la imagen estaba asociada con una solicitud HTTP a un grupo AWS S3 asociado con Manhunt (la página de citas de la compañía dueña de Jack’d). Luego verificó el almacén de imágenes y encontró la imagen “privada” con su navegador web. Hough también descubrió que al cambiar el número secuencial asociado a su imagen, esencialmente podía desplazarse por las imágenes cargadas en el mismo período de tiempo que el suyo.

La imagen “privada” de Hough, junto con otras imágenes, permaneció públicamente accesible a partir del 6 de febrero de 2018.

También hubo datos filtrados por la API de la aplicación. Los datos de ubicación utilizados por la función de la aplicación para encontrar personas cercanas eran accesibles, al igual que los datos de identificación del dispositivo, las contraseñas con hash y los metadatos de la cuenta de cada usuario. Aunque gran parte de estos datos no se mostraban en la aplicación, era visible en las respuestas de la API enviadas a la aplicación cada vez que veía los perfiles.

El error se corrigió en una actualización el 7 de febrero. Pero la solución se produce un año después de que la filtración fue revelada a la compañía por el investigador de seguridad Oliver Hough y más de tres meses después de que Ars Technica se contactó con el CEO de la compañía, Mark Girolamo, sobre el problema. Desafortunadamente, este tipo de demora no es infrecuente cuando se trata de revelaciones de seguridad, incluso cuando la solución es relativamente sencilla. Y apunta a un problema continuo con el descuido generalizado de la higiene de seguridad básica en las aplicaciones móviles.

Que compañías o aplicaciones que facilitan la homosocialización cometan estos errores puede ser, literalmente, fatal para sus usuarios. Hay aún muchos países en que la homosexualidad es ilegal, los homosexuales son perseguidos y asesinados. Al exponer sus datos, en estos países, puede significar la muerte o quedar a merced de algún cibercriminal sin escrúpulos, material de sextorsión.

Como usuarios, es importante estar siempre alerta. No podemos confiar nuestras imágenes privadas a cualquiera. Esto vale para personas y aplicaciones. Es mejor asumir que, una vez que algún material se sube a la nube, ya es público, y no sabemos dónde puede llegar a parar.