Filtración de 1.5 millones de fotos privadas expone a usuarios de aplicaciones de citas LGBTQ+

Un grave escándalo de privacidad revela la filtración de 1.5 millones de fotos privadas de usuarios de aplicaciones de citas para la comunidad LGBTQ+.

Un nuevo escándalo de privacidad ha surgido para los usuarios de aplicaciones de citas, tras revelarse que casi 1.5 millones de fotos privadas de usuarios fueron filtradas desde varias aplicaciones distribuidas a través de la App Store de Apple. Estas aplicaciones estaban dirigidas a la comunidad LGBTQ+ y a los amantes del BDSM, incluyendo plataformas como BDSM People, Chica, Translove, Pink y Brish, según un informe del equipo de investigación del portal lituano Cybernews.

El responsable de la filtración es la empresa M.A.D. Mobile Apps Developers, que expuso información sensible, incluyendo claves de programación de aplicaciones (API), contraseñas y claves de cifrado, junto con el código fuente de las aplicaciones. Esta grave vulnerabilidad permitió que información de acceso almacenada en las aplicaciones de clientes fuera accesible para cualquier persona, facilitando la entrada a sistemas restringidos. En este caso, algunos de los secretos filtrados otorgaron acceso a fotos de usuarios almacenadas en Google Cloud, las cuales estaban expuestas sin protección de contraseña.

El análisis de Cybernews reveló que entre las fotos filtradas no solo se encontraban imágenes de mensajes directos, sino también fotos de perfil, publicaciones públicas y de verificación de perfil, así como fotos eliminadas por violar las normas. Solo en la aplicación BDSM People, se documentaron 541,000 imágenes privadas visibles, incluyendo 90,000 que pertenecían a mensajes entre usuarios. Por su parte, la aplicación de sugar dating Chica expuso 133,000 imágenes, muchas de ellas también provenientes de conversaciones privadas. En total, las tres otras aplicaciones de citas LGBTQ+ con la misma arquitectura expusieron más de 1.1 millones de imágenes.

La situación es especialmente crítica para los usuarios de países donde la homosexualidad es ilegal, ya que la filtración de este tipo de contenido aumenta considerablemente el riesgo de hostigamiento y persecución. Los actores malintencionados podrían utilizar el contenido filtrado para chantaje, ingeniería social y para dañar la reputación profesional de las víctimas. Aunque los datos en las buckets de almacenamiento no contenían información identificativa como nombres de usuario o correos electrónicos, técnicas comunes como la búsqueda inversa de imágenes con reconocimiento facial podrían ser utilizadas para identificar a las personas detrás de las fotos.

El equipo de investigación detectó la filtración tras una exhaustiva revisión, donde descargaron 156,000 aplicaciones de iOS, aproximadamente el 8% de todas las aplicaciones en la App Store. Los hallazgos revelaron que el 71% de las aplicaciones analizadas contenían al menos un secreto de seguridad, y el código de una aplicación promedio revelaba 5.2 secretos. Organizaciones como Stiftung Warentest han criticado en el pasado la insuficiente protección de datos en aplicaciones de citas, mencionando las multas impuestas a plataformas como Grindr por compartir información personal con terceros para publicidad dirigida.