Cualquiera podía hacerse con el control de una cuenta

Grindr soluciona un fallo de seguridad “crítico” en su sistema de recuperación de contraseñas

36
grindr

La aplicación de citas para el colectivo LGTBI Grindr ha solucionado un fallo de seguridad descrito como crítico por los investigadores. El fallo de seguridad en cuestión residía en el mecanismo de recuperación de contraseñas que utiliza la app y permitía que un tercero se hiciese con el control de la cuenta de un usuario con un simple copia y pega de la clave de recuperación.

Cuando se introduce la dirección de correo electrónico vinculada a una cuenta de Grindr, este sistema envía al correo electrónico un token de reseteo en el que se incluye la clave de restauración. El fallo se encontraba en que también lo muestra en el navegador y, como se ha descubierto, incluía el email de la cuenta.

Usando esta clave y simplemente pegándola en la URL, el mecanismo da la opción de cambiar la contraseña de la cuenta. Al establecer una nueva, un usuario no autorizado puede tomar su control y acceder a los datos personales –imágenes y chats, entre otros– así como a los contactos del usuario en Grindr.

Por lo tanto, esta vulnerabilidad permitía que cualquier persona con conocimiento del email asociado a una cuenta de Grindr pudiera hacerse con el control de la misma. Así lo ha advertido el investigador de ciberseguridad Troy Hunt en su página web, alertado a su vez por el experto Wassime Bouimadaghene.

Hunt y Bouimadaghene fueron quienes pusieron la vulnerabilidad en conocimiento de los desarrolladores de Grindr, que procedieron a solucionarla antes de ser explotada por cibercriminales, según ha asegurado el propietario del servicio.

No es su primer fallo de seguridad

Además de solucionar este fallo de seguridad, Grindr se ha comprometido a crear un programa de recompensas para todos aquellos que descubran fallos de seguridad en su plataforma en el futuro y así mejorar su protección.

Finalmente, cabe recordar que esta no es la primera vez que la compañía sufre problemas de seguridad y protección de datos ya que en 2018 salió a la luz que compartía con empresas externas datos personales de sus usuarios, como si estos padecían VIH o la fecha en la que realizaron los tests de esta enfermedad por última vez.

Artículo
Grindr soluciona un fallo de seguridad "crítico" en su sistema de recuperación de contraseñas
Nombre
Grindr soluciona un fallo de seguridad "crítico" en su sistema de recuperación de contraseñas
Descripcion
Esta vulnerabilidad residía en el mecanismo de recuperación de contraseñas que utiliza la app y permitía que cualquiera pudiera tomar el control de una cuenta con un simple copia y pega
Autor
Publico
Escudo Digital
Logo