El error de Grindr significaba que las cuentas podrían ser pirateadas con solo una dirección de correo electrónico

Se ha advertido a los usuarios de la aplicación de citas Grindr que se aseguren de que sus cuentas estén seguras tras la divulgación de una infracción de seguridad potencialmente peligrosa.

Los investigadores descubrieron que los atacantes pueden secuestrar la cuenta de un usuario sin usar una contraseña, y solo se requiere una dirección de correo electrónico para acceder a ella.

Grindr es una de las aplicaciones de citas más grandes del mundo, que permite a los usuarios gay, lesbianas, bisexuales y transexuales chatear y conocerse.

Seguridad de Grindr

La falla fue descubierta por el investigador de seguridad francés Wassime Bouimadaghene, quien se asoció con el experto en seguridad Troy Hunt después de que Grindr no respondiera a su alerta inicial.

El problema era la forma en que la aplicación Grindr manejaba las solicitudes de los usuarios para cambiar las contraseñas de sus cuentas. La aplicación enviaría un correo electrónico a los usuarios que contenía un token de restablecimiento de contraseña de la cuenta que, al hacer clic, les permitía cambiar su contraseña y volver a ingresar a su cuenta.

Sin embargo, la página de restablecimiento de contraseña filtró estos tokens al navegador, lo que significa que cualquier persona que conociera la dirección de correo electrónico de la cuenta de un usuario podría solicitar un restablecimiento de contraseña. Los piratas informáticos podrían haber utilizado este sistema para crear su propio enlace de restablecimiento de contraseña malicioso utilizando estos tokens filtrados, restablecer la contraseña de un usuario sin su conocimiento, otorgar acceso a una cuenta e información personal. contiene.

Grindr dice que ahora ha solucionado el problema, que dice que se solucionó antes de que pudiera ser explotado, y agradeció a Bouimadaghene por su trabajo. No hay indicios de que las cuentas de usuario se hayan visto afectadas, pero los usuarios deben asegurarse de tener una contraseña segura.

"Es un recordatorio para que las organizaciones busquen constantemente vulnerabilidades, ya sean fugas de tokens de contraseñas, una puerta trasera abierta o cualquier cosa intermedia", dijo Jake Moore, especialista en ciberseguridad de ESET.

“Los investigadores de seguridad interna y los cazadores de amenazas no siempre parecen una forma proactiva de gastar dinero, pero la forma más segura de estar al tanto de la protección empresarial es intentar averiguarlo continuamente vulnerabilidades antes de que los actores equivocados las encuentren y las exploten ".

Grindr fue nombrado anteriormente como una de una serie de aplicaciones de citas populares que recientemente se descubrió que filtran información del usuario, así como Tinder y OKCupid, que colectivamente compartieron la información personal de los usuarios con al menos 135 empresas.

Vía TechCrunch