3 min Security

KU Leuven kaart slechte databeveiliging datingapps aan

Gevaar voor stalking

KU Leuven kaart slechte databeveiliging datingapps aan

Onderzoekers van de KU Leuven hebben belangrijke kwetsbaarheden gevonden in datingsapps. Het blijkt dat persoonlijke data slecht beveiligd is in vijftien populaire apps.

Bij vijftien verschillende datingapps is het zeer eenvoudig gevoelige data te stelen van gebruikers. Het gaat om populaire apps en onder andere Tinder, Badoo, Grindr, OKCupid, MeetMe, Hinge, Happn, Hilly en Bumble werden onderzocht. Door de kwetsbaarheden zou het eenvoudig zijn exacte locaties van gebruikers te bekomen, net als persoonlijke data. Zo zou het onder andere mogelijk zijn gender en seksuele oriëntatie van gebruikers te weten te komen.

De onderzoekers van de DistriNet-onderzoeksgroep, onderdeel van KU Leuven, analyseerden drie categorieën van data: persoonlijke data, gevoelige data en gebruiksdata. Een aantal van deze gegevens moeten gebruikers ingeven en delen om van de diensten van de datingapp gebruik te kunnen maken.

Dataverkeer onderscheppen

Door slechte beveiliging kunnen derden alleen eenvoudig een kijkje nemen in de gegevens. De onderzoekers moesten hiervoor alleen inkijken welke informatie de apps van de servers krijgen via de API. Op die manier kregen de onderzoekers toegang tot data van andere gebruikers van de datingapps. Zij vonden ook dat het mogelijk was extra gegevens te bemachtigen door wat aan het dataverkeer te sleutelen.

Bij alle vijftien apps was het mogelijk persoonlijke en gevoelige data van andere gebruikers te onderscheppen. Het gaat dan om informatie zoals de leeftijd, de woonplaats, het telefoonnummer, de politieke voorkeur, religie en seksuele geaardheid.

In zes van de apps konden de onderzoekers bovendien de exacte locatie van een gebruiker achterhalen. Drie van deze apps zijn Bumble, Grindr en Hinge. De onderzoekers gebruikten hiervoor de methode ‘oracle trilateration’. Dit gaat in eerste plaats uit van de ruwe schatting van de locatie van een gebruiker, op basis waarvan de profielen van andere gebruikers worden geladen. Door daarna in drie verschillende richtingen te bewegen tot het profiel buiten bereik was, konden de onderzoekers de locatie van de gebruiker tot op twee meter nauwkeurig bepalen.

Hoe meer data, hoe meer lek

De DistriNet-onderzoekers besloten in het algemeen dat het aantal invulvelden de mate van beveiliging van de app kon bepalen. Het principe geldt dat hoe meer informatie over een gebruiker wordt gevraagd, hoe groter het risico op beveiligingslekken is.

“De risico’s zijn duidelijk”, zegt mede-onderzoeker Victor Le Pochat. “De persoonlijke en gevoelige gegevens die we met eenvoudige middelen konden blootleggen zijn van goudwaarde voor mensen met slechte bedoelingen, die zowel bekenden bij jou in de buurt als volslagen onbekenden kunnen zijn. Het vrijgeven van persoonlijke data maakt gebruikers kwetsbaar voor online manipulatie via phishing of identiteitsdiefstal. Als je dat combineert met gevoelige data zoals seksuele oriëntatie en iemands locatie, kan dat leiden tot fysiek gevaar, zoals stalking of aanranding, of zelfs vervolging door de overheid.”

Aanbevelingen ontwikkelaars

De onderzoekers gaven nog vier aanbevelingen mee voor ontwikkelaars van datingapps om de beveiliging te verbeteren:

  1. Geef gebruikers controle over welke gegevens ze delen en met wie, zodat ze zelf over hun privacy kunnen beslissen.
  2. Voorkom datalekken door API’s beter te beschermen en zo te voorkomen dat gevoelige gegevens onbedoeld worden gedeeld.
  3. Beperk het verzamelen van gegevens (dataminimisatie) tot het hoognodige voor het correct werken van de app, zodat er minder risico is op datalekken.
  4. Denk verder dan de typische hacker: zelfs ongesofisticeerde aanvallers kunnen subtiele gebreken in apps uitbuiten, zonder daarom op servers te moeten inbreken.

Lees ook: WhatsApp-gegevens van 3,2 miljoen Belgen verhandeld op darkweb