De populaire dating-app Tinder heeft maandenlang de locatiegegevens van gebruikers gelekt, waardoor het kinderspel was om de exacte locatie van een gebruiker te bepalen. Het lek werd november vorig jaar ontdekt, maar zou mogelijk al sinds een update voor een ander privacylek in juli 2013 aanwezig zijn.

Beveiligingsonderzoeker Max Veytsman ontdekte dat Tinder de lengte- en breedtegraad van gebruikers naar de iOS-client stuurde. Iedereen met basale programmeervaardigheden zou vervolgens een script kunnen schrijven dat aan de Tinder API (application programming interface) de coördinaten van elke gebruiker opvroeg.

Om de ernst van het lek aan te tonen ontwikkelde Veytsman een eigen demonstratie-app genaamd TinderFinder, waarmee het mogelijk was om gebruikers direct aan de hand van hun naam op te zoeken of door het opgeven van een bepaalde stad.

Contact

Op 23 oktober waarschuwde Veytsman de helpdesk, gevolgd door een e-mail naar de CEO van Tinder een dag later. Die reageerde dezelfde dag nog en bedankte voor de melding. Op 8 november vroeg Veytsman de CEO om de status van de update, maar kreeg geen reactie. Een maand later werd er weer geprobeerd om contact te leggen, toen kreeg de onderzoeker te horen dat Tinder meer tijd nodig had om het lek te dichten.

Op 1 januari onderzocht Veytsman het verkeer van de app en ontdekte dat het probleem was opgelost. Een dag later mailde hij Tinder hoe het stond met de update, maar kreeg geen reactie. Een maand later probeerde hij het weer en wederom kwam er geen antwoord. Pas op 7 februari liet de CEO weten dat hij snel met een antwoord zou komen, maar het bleef wederom stil. Daarop besloot Veytsman zijn bevindingen openbaar te maken.