Grindr, una de las aplicaciones de citas más grandes a nivel mundial dentro de la comunidad LGBT+, corrigió una vulnerabilidad de seguridad que permitía que cualquier persona secuestrara y tomara el control de las cuentas de los usuarios, usando solo su e-mail.
La app tiene alrededor de 27 millones de usuarios, con unos tres millones que la utilizan diariamente.
Wassime Bouimadaghene, un investigador de seguridad francés, encontró la vulnerabilidad e informó del problema a Grindr.
Como no obtuvo respuesta, Bouimadaghene compartió sus hallazgos con el experto en seguridad Troy Hunt para que le ayudara, informó TechCrunch.
Bouimadaghene encontró la vulnerabilidad en la manera en la que Grindr maneja los restablecimientos de contraseñas de sus cuentas.
Para restablecer una clave, la aplicación envía al usuario un correo electrónico con un enlace que contiene una ficha de para obtener una nueva contraseña. Una vez que el usuario da clic en el link, puede cambiar la misma.
No obstante, Bouimadaghene descubrió que la página de restablecimiento de contraseña de Grindr estaba filtrando las fichas de la misma al navegador.
Esto significaba que cualquiera que tuviera conocimiento de la dirección de e-mail registrada de un usuario podía activar el restablecimiento de la contraseña y recoger la ficha si sabía dónde buscar.
El enlace que Grindr genera para este proceso tiene el mismo formato, lo que significa que un hacker podría crear fácilmente su propio enlace para el restablecimiento de la contraseña utilizando el token filtrado al navegador.
Gracias a éste, un hacker puede cambiar así la clave del propietario de la cuenta y acceder a ésta y a los datos personales almacenados en ella, incluidas fotografías, mensajes, orientación sexual, estado de VIH y la fecha de su última prueba.
“Estamos agradecidos por el investigador que identificó una vulnerabilidad. El problema reportado ha sido arreglado. Afortunadamente, creemos que hemos abordado el problema a tiempo”, dijo el jefe de operaciones de Grindr, Rick Marini, a TechCrunch.
“Como parte de nuestro compromiso de mejorar la seguridad de nuestro servicio, nos asociamos con una empresa líder en seguridad para simplificar y mejorar la capacidad de los investigadores de seguridad para reportar problemas como estos”, agregó.
“Además, pronto anunciaremos un nuevo programa de recompensas por errores para proporcionar incentivos adicionales a los investigadores, para ayudarnos a mantener nuestro servicio seguro en el futuro”, dijo la empresa.
AHORA LEE: El fundador de OKCupid y también CEO de de ShopRunner revela como las citas en línea y las apps de compras son similares
TAMBIÉN LEE: Los casos de ciberviolencia se dispararon con el confinamiento. Aquí hay 5 maneras de estar seguro al compartir imágenes íntimas en línea.