Especialistas de segurança da Inside Security divulgaram nesta quarta-feira uma falha no Tinder que podia entregar a localização quase exata dos usuários a um invasor.

A brecha, já corrigida, foi encontrada no final de 2013 e se baseava no valor da distância que era listado na API da versão do aplicativo para iOS, logo abaixo dos amigos e dos interesses em comum.

De acordo com o post no blog da companhia de segurança, o problema aparecia no endpoint “users”, que dava informações relacionadas ao ID do usuário. Além da biografia, do nome, do aniversário e do gênero, a solicitação feita pelo app trazia também nos resultados contadores de amigos e de interesses em comum e de distância.

O número desse último era a metade exata da distância exibida na tela do app, “o suficiente para fazer uma triangulação realmente precisa”, nas palavras de um dos especialistas da Inside. 

A técnica é usada por sistemas de GPS ou de monitoramento de posição por redes móveis, e se resume, de certa forma, a usar três ou mais pontos em distâncias diferentes para encontrar uma intersecção entre todos eles. A imagem acima ilustra melhor esse conceito.

Um dos responsáveis por encontrar a brecha no Tinder chegou até a criar uma aplicação que se aproveitava dessa brecha. Bastava digitar o número de identificação de um usuário – também obtido pela API – para que o webware localizasse a pessoa. Seria a ferramenta ideal para um stalker ou mesmo um ex-namorado, e justamente por isso não chegou a ser colocada no ar.

A Inside Security relatou a falha aos desenvolvedores do aplicativo em outubro do ano passado, e a correção foi feita, aparentemente, em dezembro.

Os especialistas tiraram a prova em janeiro, e concluíram que, de fato, a falha fora consertada – embora ela tenha passado pelo menos quatro meses incólume. Isso porque o Tinder havia corrigido, em junho (ou trocado por essa mais recente), uma brecha ainda pior, que entregava dados precisos de latitude e longitude dos usuários.