De onderzoekers namen Tinder, Bumble, OkCupid, Badoo, Mamba, Zoosk, Happn, WeChat en Paktor onder de loep en ontdekten dat het in sommige gevallen wel heel makkelijk te achterhalen is wie er achter een bepaald profiel zit. De gewonnen informatie kan worden gebruikt om social media accounts te achterhalen en zo achter de echte naam van het slachtoffer te komen. Ook het beroep, de school en in sommige gevallen zelfs de huidige locatie en het e-mail adres kunnen worden achterhaald.

Het lukte de onderzoekers in 100 procent van alle gevallen Happn en Paktor-gebruikers te identificeren. Bij Tinder lukte dat 60 procent van alle gevallen en bij Bumble 50.

Onbeveiligde verbindingen

Kaspersky meldt dat het achterhalen van deze gegevens zo makkelijk is omdat veel van deze apps hun data slechts deels (en in sommige gevallen zelfs helemaal niet) versleutelen. Het gaat hierbij om berichten, foto's en in sommige gevallen locatiegegevens. Mamba kwam als slechtst uit de test en gooide zelfs apparaatinformatie (model en serienummer bijvoorbeeld) online. Malafide hackers kunnen deze gegevens niet alleen onderscheppen, maar een MITM-aanval uitvoeren en de berichten manipuleren.

De onderdelen die wel versleuteld worden verstuurd, zijn ook niet altijd veilig. De certificaten worden namelijk slecht tot niet gecontroleerd. De onderzoekers installeerden een nepcertificaat om te kijken of de apps zouden controleren of deze valide waren. Vijf van de negen apps deden dat niet.

Kaspersky heeft de makers van al deze apps ingelicht en sommige apps zijn al gepatcht. Het bedrijf raadt verder aan een VPN te gebruiken en de dating-apps niet te koppelen met Facebook. Helaas verplichten sommige apps (onder andere Tinder en Happn) een verbinding met Facebook waardoor je als gebruiker geen keuze hebt.

Hier kan je het volledige rapport lezen en zien welke app welke kwetsbaarheden bevat.