La aplicación de citas para el colectivo LGTBI Grindr ha solucionado un fallo de seguridad descrito como crítico por los investigadores. El fallo de seguridad en cuestión residía en el mecanismo de recuperación de contraseñas que utiliza la app y permitía que un tercero se hiciese con el control de la cuenta de un usuario con un simple copia y pega de la clave de recuperación.
Cuando se introduce la dirección de correo electrónico vinculada a una cuenta de Grindr, este sistema envía al correo electrónico un token de reseteo en el que se incluye la clave de restauración. El fallo se encontraba en que también lo muestra en el navegador y, como se ha descubierto, incluía el email de la cuenta.
Usando esta clave y simplemente pegándola en la URL, el mecanismo da la opción de cambiar la contraseña de la cuenta. Al establecer una nueva, un usuario no autorizado puede tomar su control y acceder a los datos personales –imágenes y chats, entre otros– así como a los contactos del usuario en Grindr.
Por lo tanto, esta vulnerabilidad permitía que cualquier personacon conocimiento del email asociado a una cuenta de Grindr pudiera hacerse conel control de la misma. Así lo ha advertido el investigador de ciberseguridadTroy Hunt en su página web, alertado a su vez por el experto WassimeBouimadaghene.
Hunt y Bouimadaghene fueron quienes pusieron lavulnerabilidad en conocimiento de los desarrolladores de Grindr, queprocedieron a solucionarla antes de ser explotada por cibercriminales, según haasegurado el propietario del servicio.
No es su primer fallo de seguridad
Además de solucionar este fallo de seguridad, Grindr se hacomprometido a crear un programa de recompensas para todos aquellos quedescubran fallos de seguridad en su plataforma en el futuro y así mejorar suprotección.
Finalmente, cabe recordar que esta no es la primera vez quela compañía sufre problemas de seguridad y protección de datos ya que en 2018salió a la luz que compartía con empresas externas datos personales de sususuarios, como si estos padecían VIH o la fecha en la que realizaron los testsde esta enfermedad por última vez.