Grindr, que ya ha solucionado este problema “crítico”, asegura que “afortunadamente, creemos que hemos abordado el tema antes de que sea explotado por cualquier parte maliciosa”.
El robo de la cuenta era un proceso sencillo. Al introducir solo la dirección de correo electrónico asociada a una cuenta de Grindr, el sistema envía al mail un ‘token’ de reseteo en el que se incluye la clave de restauración. El problema está en que también lo muestra el navegador que incluía el email de la cuenta.
De este modo, empleando esta clave y simplemente pegándola en la dirección URL, el sistema permite cambiar la contraseña de la cuenta. Al poner una clave nueva, el usuario no autorizado puede hacerse con el control y acceder a los datos personales (imágenes, chats, etc.) y a los contactos del usuario en la app.
Una vulnerabilidad que permitía a cualquier persona con conocimiento del email asociado a una cuenta de Grindr hacerse con el control de esta, según ha desvelado el investigador de ciberseguridad Troy Hunt, quien informó a la compañía que procedió a solucionarla antes de ser explotada por cibercriminales.
Programa de recompensas
Se trata de la segunda gran brecha de seguridad que se descubre este año en la app de citas LGTBIQ+, después de que a principios de año se conociera que la compañía estaba compartiendo datos de localización y orientación sexual con terceros, una cuestión muy relevante en países con leyes contra el colectivo.
Este descubrimiento coincide con el de 2018 donde se dio a conocer que Grindr compartía datos como los del estado de VIH o la fecha en la que se realizaron los test de la enfermedad por última vez.
Ante esto, Grindr se ha comprometido a crear un programa de recompensas para los hackers que descubran fallos de seguridad en su plataforma en el futuro, de cara a mejorar la protección de la aplicación.