Badoo... La red social donde todos los canis y chonis del mundo se encuentran en una misma pagina... Donde el 90% de los usuarios solo se meten con el movil porque ni tienen ordenador... (Y así podría seguir)
Bueno, pues esta claro que esta pagina me decepcionó bastante, no voy a volver a explicarlo.
La cuestión es que recientemente me reactivé la cuenta, únicamente con el objetivo de comprobar hasta que punto tenia la red social fallos de seguridad.
A pesar de que Badoo tiene millones de usuarios por todo el mundo, se nota que aun tiene algunos fallos de este tipo, en parte debido a que dado el tipo de usuarios que usan Badoo a nadie le interesaría explotarlos, y a que tampoco tiene la popularidad que tiene por ejemplo Facebook.
No obstante en general es muy muy seguro. Ademas de usar cifrado HTTPS en toda la pagina es imposible por ejemplo visualizar las fotos privadas de una persona sin pedírselo, obtener el perfil de una persona que te aparece en "Encuentros", u obtener el perfil / imagen original de las fotos pixelizadas.
Seguridad de cuenta:
En cuanto a la seguridad de la cuenta, el mayor fallo es permitir el acceso mediante un "secret": una cadena de unicamente 10 caracteres que incluye unicamente numeros y letras mayusculas y minusculas. Este "secret" puede reemplazar a la contraseña totalmente, y puede ser obtenido rapidamente con fuerza bruta.
¿De donde sale este secret? Cuando recibes los emails de Badoo con alguna notificación te aparece un enlace que te hace login automaticamente en Badoo. Asi es, un enlace URL que te hace automaticamente login. Estos enlaces serian de la forma: https://eu1.badoo.com/access.phtml?UID=387680439&secret=xxxxxxxxxx
Donde el UID es el numero de identificacion de usuario unico de cada usuario de Badoo, el cual es el que te aparece al acceder a tu perfil. Ej: mi pagina de perfil es https://badoo.com/0349823157/ (Con un 0 delante).
Como habeis visto es un fallo de seguridad muy grave, dado lo fácil que es acceder por fuerza bruta a una cuenta.
Tambien este UID nos muestra una caracteristica que Badoo nos oculta a los usuarios, que es el momento de creación de una cuenta. En el ejemplo del secret puse la cuenta de Yana, la nueva "mascota" de Badoo, que es la tia que ahora aparece en los videos de la pantalla de inicio como la "chica mas popular de Badoo". La cuestión es que si os fijais, el UID es muy actual, lo que demuestra que esa cuenta se creó practicamente en las mismas fechas que los videos. Esto demuestra que esta cuenta fue creada de forma intencionada, y la popularidad que dicen los de Badoo, se la ganó con los videos que enlazan a su cuenta a todos los usuarios del mundo.
Vulnerabilidades (Glitches) del servidor:
A la hora de configurar tu perfil, la pagina te permite seleccionar los valores que quieras para tu descripcion, atributos, intenciones...
La cuestion es que muchas opciones son cerradas, pero... ¿Que pasa si le envías respuestas al servidor de forma manual?
Y eso es lo que hice, mediante el programa Fiddler del que ya hablé anteriormente pude descubrir que el servidor es muy vulnerable a estas respuestas alteradas. Aqui os pongo varios ejemplos:
Edades de interes: Una vulnerabilidad que afecta plenamente a la funcionalidad de Badoo. En tu perfil debes poner que estas buscando: Chatear, conocer gente, ligar... Y unas edades cuyo rango debe de tener por lo menos 4 años de rango. Ej: "Quiero tener una cita con una chica entre 18 y 22 años" (Ese sería el minimo). Si estas centrad@ unicamente en personas de por ejemplo hasta 20 años, la pagina no te permite configurarlo, ya que eso implicaria que tu perfil apenas pueda aparecer a nadie. Peeeero como no, hay una vulnerabilidad en los servidores que permite configurarlo como quieras enviando la respuesta manualmente. Si veis mi perfil comprobareis que tengo puesto para conocer gente entre 18 y 19 años, una configuración imposible dentro de la pagina, y que ademas afecta a la funcionalidad de la pagina en funciones como "Encuentros".
Autodescripcion: Uno de los campos mas importante de tu perfil es la autodescripcion, un campo de texto de un maximo de 150 caracteres en el que te describes a ti mismo para que lo pueda ver el resto del mundo.
La cuestion es que no puedes escribir mas de 150 caracteres en la pagina, una pena, ¿no? pero... que pasaria si manualmente con Fiddler le envias una descripcion de 5.000 caracteres (por ejemplo). Pues lo que pasa es que el servidor lo recibe... y lo publica! Esto es un fallo muy grave, puesto que hace que paginas como la mia tengan una longitud enorme, y ademas si accedes a esta descripcion desde la app movil, la app hace crash directamente.
Atributos: Si comprobais mi campo de apariencia donde deberia aparecer mi altura y peso, comprobareis que aparece (5'4"). WTF? Normalmente la altura la pone en metros, y entre parentesis apareceria la medida en pulgadas. Los valores se envian al servidor en mm y en la pagina se pueden elegir como 170cm, 171cm... Siempre de 10 en 10mm. ¿Que pasa si se envia por ejemplo 1805mm? Pues lo que habeis visto en mi perfil. El servidor no logra interpretar mi valor de altura en cm y unicamente muestra la conversión a pulgadas entre parentesis.
Seguramente hayan mas fallos, pero como esto no lo leera nadie lo dejo aqui XD.
Recientemente me acabo unir nuevamente a Badoo, mismo email pero otrs datos de usuario y al chatear con alguien que tenía superpoderes hizo referencia a una charla que yo había mantenido hace tiempo con otro usuario. O sea me dí cuenta que al darte de baja badoo no elimina tu cuenta y datos de forma definitiva, es mas hay quienes pueden verlos sin tu concentimiento. Hay alguna forma de eliminar definitivamente todo rastro de una cuenta?
ResponderEliminarHola. Te recomiendo que te mires la politica de privacidad de Badoo, en concreto el punto 6. https://badoo.com/es/privacy/ Ahi tienes un enlace para borrar tus datos si es lo que quieres. Ademas explican muy bien lo que ocurre con tus datos: El problema no es que ellos tengan almacenada información sobre ti, sino la huella digital que se deja. En tu caso si creas un perfil con tus fotos (sigues siendo la misma persona que antes) es posible que antiguos usuarios que recuerden haber visto tu foto te reconozcan.
EliminarHola!
ResponderEliminarBadoo tuvo unos años de mucho éxito pero ahora es lo que es... También me he unido de nuevo recientemente pero para intentar ver si una persona que conocí hace unos años, por casualidad, seguía teniendo su perfil activo. Y efectivamente lo tiene, pero no lo usa. Quería preguntarte si habría manera de conseguir el mail de esa persona, encontrar algún tipo de conexión con entre badoo y facebook... Sólo me interesaría poder contactar con dicha persona.
Gracias
Ana
¡Hola! Gracias por tu comentario. Lo normal si tenias mucho contacto con esa persona es haber compartido el mail o el telefono con él. Podrias intentar acceder a tu antigua cuenta y revisar los chats, o mirar si lo apuntarias en algun sitio.
EliminarEn caso de que no fuese asi, pasaría a buscar sus fotos con el buscador por imagenes de Google. No siempre es facil encontrar a una persona de esa manera, pero si te podria ayudar a verificar si sus fotos eran de él de verdad.
Lo siguiente ya seria hacer un poco de investigación por tu parte, aunque deberias saber un poco de información basica sobre él como su nombre real, o su ubicación. Es mucho mas facil localizar a alguien cuya ubicación es un pueblo ej: Hellín que alguien de una ciudad ej: Madrid. Si necesitas mas ayuda puedes preguntar o compartir aqui su perfil a ver si te podemos ayudar por aqui. Un saludo.
Hola!
ResponderEliminarMuchas gracias por tu comentario pero lo cierto es que lo que comentas ya lo he intentado todo!
Yo borré mi cuenta de badoo, por eso no tengo acceso a las conversaciones antiguas. Tampoco nos intercambiamos los números ni mail, ya que empezamos a hablar en Line (a través de una ID), yo cambié de teléfono y perdí los contactos de line ya que desaparecen si no los has agregado por número.
Ambos somos de Madrid y usando la ingeniería social tampoco logro averiguar nada. He buscado en Facebook/Linkedin por: barrio donde vive, barrio donde trabajaba, profesión, algunos hobbies…
También he buscado en fotos de google y nada.
El caso es que su nick “RBN” se suponía que era de su nombre Rubén, pero me he fijado en el código fuente de badoo que pone David < meta property="profile:username" content="Rbn" > < meta property="profile:first_name" content="David" > .
También puede ocurrir que sea de las personas que en el nombre de Facebook ponga algo que no tiene nada que ver en plan, ‘el último mohicano’
Su perfil es: https://badoo.com/profile/0321807476?p=107&folder=25
UN saludo
Su cuenta parece desactivada y no puedo verla, por lo que no te puedo ayudar. Es una pena que hayas perdido su usuario de Line porque eso te habria ayudado muchísimo, mas que nada porque si tiene instagram u otra red similar la gente suele usar nombres de usuario parecidos o identicos.
EliminarOtra cosa que tal vez debas saber es que en Badoo la gente suele mentir a veces en cosas que les pueden identificar facilmente, y ya no digo solo por el nombre, sino por otros datos como edad o trabajo (Es habitual decir que tienen un mejor trabajo del que tienen), y eso te pueda despistar.
Si es de Madrid, lo tienes muy difícil. Seguramente acabases encontrándolo si le dedicas mucho esfuerzo, pero tal vez debas plantearte si realmente te merece la pena.
Si no te dio el numero y prefirió darte una cuenta de Line seguramente fue porque no había suficiente confianza.
A lo mejor te pasé mal el enlace porque yo puedo entrar así que entiendo que tú también tendrías que poder… https://badoo.com/profile/0321807476
ResponderEliminarLo mío es más por cabezonería que por otra cosa :) hace un año o así que perdimos el contacto y en este tiempo pueden haber ocurrido muchas cosas pero ahora se me ha metido entre ceja y ceja encontrarlo y hasta que me canse/aburra seguiré trasteando a ver qué puedo averiguar!
También soy consciente de que en este tipo de páginas es bastante probable que la gente mienta u omita cosas pero estuvimos hablando varios meses así que en líneas generales no creo que me haya mentido. Supongo que te resultará raro que te diga que estuvimos hablando varios meses y no dos dimos el nº pero así fue…. Él me pidió el nº pero como fue poco tiempo después de empezar a hablar en badoo, yo preferí hablar por LINE y cuando yo quise nos diésemos el nº él dijo que me aguantase y que seguíamos hablando por line (supongo que por orgullo o algo similar).
En line su nick también era RBN, pero no siempre coincide con la ID y si uso el buscador no permite una búsqueda con nicks de 3 caracteres.
Puede ser que mintiera en lo de que se llamaba Rubén, puede que se registrase en badoo con el nombre de David por poner algo, puede que se llame Rubén David…. A saber!
link rel="canonical" href="https://badoo.com/es/profile/0321807476"> < meta property="fb:app_id" content="107433747809"> < meta name="description" content="Charla ahora con Rbn, 34. De Madrid, España. Chatea totalmente gratis en Badoo"> < meta property="profile:username" content="Rbn"> < meta property="profile:first_name" content="David"> < meta property="profile:gender" content="male"> < meta property="og:title" content="Rbn, hombre, 34 | Madrid, España | Badoo"> < meta property="og:description" content="Charla ahora con Rbn, 34. De Madrid, España. Chatea totalmente gratis en Badoo"> < meta property="og:site_name" content="Badoo"> < meta property="og:image" content="https://pcache-eu1.badoocdn.com/p76/10503/7/2/3/321807476/d952/t1452807026/c_H9P1xyzxSsrM7a1d7MXf3UjVkImA3Uqb2LLsXKxDENg/952578/dfs_920_o/osz___size__.jpg?wm_id=8&wm_size=85x85&wm_offs=30x30"> < meta property="og:url" content="https://badoo.com/es/profile/0321807476"> < meta itemprop="image" content="https://pcache-eu1.badoocdn.com/p76/10503/7/2/3/321807476/d952/t1452807026/c_H9P1xyzxSsrM7a1d7MXf3UjVkImA3Uqb2LLsXKxDENg/952578/dfs_920_o/osz___size__.jpg?wm_id=8&wm_size=85x85&wm_offs=30x30"> < meta name="twitter:card" content="app"> < meta name="twitter:site" content="@Badoo_es"> < meta name="twitter:app:id:iphone" content="351331194"> < meta name="twitter:app:name:iphone" content="Badoo - Meet New People, Chat, Socialize">