Fallo de seguridad en Match.com pone en riesgo a sus usuarios

Fallo de seguridad en Match.com pone en riesgo a sus usuarios

Match.com, el popular portal de citas, ha puesto en riesgo las contraseñas de sus más de 20 millones de usuarios por un fallo de seguridad.

El problema reside en que la web, en su página de inicio de sesión, no utiliza el protocolo de seguridad HTTPS, sino que emplea el estándar HTTP.

De esta manera, los datos que introducen los usuarios para logarse, que son la dirección de correo electrónico y la contraseña, son susceptibles de ser robados por cualquier otra persona que esté utilizando la misma red WiFi. 

La página, al no estar cifrada, no transmite los datos de inicio de sesión encriptados, de manera que un usuario conectado a la misma red WiFi podría ejecutar un ataque man-in-the-middle para robar la información. 

Para llevar a cabo este ataque, el hacker crea una red ficticia que actúa como intermediara entre los usuarios y la conexión WiFi, permitiendo al ciberdelincuente obtener las direcciones de correo electrónico y las contraseñas de los usuarios que quieran acceder a Match.com.

Este fallo en la protección de los datos de los usuarios ha sido descubierto por un lector de Ars Technica, que alertó al medio especializado en tecnología acerca de lo que estaba sucediendo. 

Match.com pone en riesgo las contraseñas de millones de usuariosCaptura tomada por Ars Technica probando el fallo de seguridad en Match.com

Ars Technica quiso probar si era posible el robo de los datos de acceso, y pudo obtener el correo electrónico y la contraseña de uno de sus reporteros cuando éste se logaba en el portal de citas. 

En caso de que Match.com hubiese utilizado el protocolo de seguridad HTTPS, toda la sesión habría estado cifrada y no podrían haber conseguido los datos de incio de sesión del reportero.

No sabemos durante cuánto tiempo lleva existiendo este fallo de seguridad. Ars Technica hizo las pruebas el 16 de abril, y el lector que avisó del problema asegura que la primera vez que lo advirtió fue en el pasado mes de marzo.

Match.com usará reconocimiento facial para buscarte pareja

El peligro de este fallo de seguridad es mayor si tenemos en cuenta que un gran número de personas utilizan la misma contraseña para diferentes sitios web.

Por ello, quien robe estas claves de acceso podría entrar también en los perfiles de las redes sociales e incluso en los sitios web bancarios de los usuarios. 

[Fuente: Ars Technica]