Comparten archivos en línea con 70.000 imágenes de Tinder

Aaron DeVera, un investigador de ciberseguridad que trabaja para la compañía de seguridad White Ops y también para el Grupo de Trabajo NYC Cyber Sexual Assault, descubrió una colección de más de 70.000 fotografías obtenidas de la aplicación de citas Tinder, en varios sitios web no revelados.
Al contrario de algunos informes de prensa, las imágenes están disponibles de forma gratuita en lugar de a la venta, dijo DeVera, y agregó que las encontraron a través de un sitio de torrents P2P.

La cantidad de fotos no representa necesariamente la cantidad de personas afectadas, ya que los usuarios de Tinder pueden tener más de una imagen. Los datos también contenían alrededor de 16.000 ID de usuario únicos de Tinder.

DeVera también discrepó con los informes en línea que decían que Tinder fue hackeado, argumentando que el servicio probablemente fue obtenido por scrapping usando un script automatizado:

En mis propias pruebas, observé que podía recuperar mis propias imágenes de perfil fuera del contexto de la aplicación. El autor de la fuga probablemente hizo algo similar en una escala más grande y automatizada.

¿Qué querría alguien con estas imágenes?
¿Entrenamiento de reconocimiento facial?

Posiblemente. Un atacante podría estar tomado caras del sitio para para construir conjuntos de datos de reconocimiento facial.

En 2017, la subsidiaria de Google, Kaggle, eliminó 40.000 imágenes de Tinder utilizando la API de la compañía.
El investigador involucrado subió su script a GitHub, aunque posteriormente recibió un aviso de eliminación de DMCA.

Este volcado de imágenes es realmente muy valioso para los estafadores que buscan operar una cuenta personal en cualquier plataforma en línea. Los delincuentes podrían crear cuentas falsas en línea utilizando las imágenes y atraer a las víctimas desprevenidas a otras estafas.

En algunos casos, las personas han usado fotos de servicios de terceros para crear cuentas falsas de Twitter.
En 2018, la usuaria canadiense de Facebook, Sarah Frey, se quejó con Tinder después de que alguien robó fotos de su página de Facebook, que no estaba abierta al público, y las usó para crear una cuenta falsa en el servicio de citas.
Tinder le dijo que, como las fotos eran de un sitio de terceros, no podía manejar su queja.

Con suerte, Tinder ha cambiado su tono desde entonces. Ahora presenta una página que les pide a las personas que se pongan en contacto con ella si alguien ha creado un perfil falso de Tinder usando sus imágenes.

Tinder podría reforzar aún más el acceso fuera de contexto a su repositorio de imágenes estáticas. Esto podría lograrse mediante tokens de tiempo de vida o cookies de sesión generadas de forma única generadas por sesiones de aplicaciones autorizadas.

Fuente: NakedSecurity

Comments are closed.