barra head

Fallo en la seguridad de Grindr

UN HACK PUEDE HACER QUE TE ROBEN LA CUENTA PIDIENDO SOLO RESTABLECER LA CONTRASE脩A

GrindrGrindr. (Getty)

Un fallo de seguridad de Grindr significaba que las cuentas podían ser fácilmente tomadas por hackers con nada más que una dirección de correo electrónico. El hack Grindr fue expuesto por el investigador de seguridad francés Wassime Bouimadaghene y fue posteriormente documentado por Troy Hunt y Scott Helme, ambos expertos en seguridad. En su investigación, Bouimadaghene descubrió que una vulnerabilidad en el sitio web de Grindr permitía a los potenciales hackers robar la cuenta de un usuario solicitando un restablecimiento de la contraseña.

El fallo de seguridad significaba que, si un hacker obtenía la dirección de correo electrónico registrada de un usuario, podía solicitar el restablecimiento de la contraseña. Esto enviaría un correo electrónico automático al usuario con una URL para restablecer su contraseña - sin embargo, Bouimadaghene descubrió que la misma URL se podía encontrar en el código del sitio web. El resultado, según el investigador, era que los hackers podían robar las cuentas de los usuarios de Grindr y acceder a montones de información personal y a menudo muy sensible, como fotos, mensajes, su orientación sexual y su estado de VIH.

Bouimadaghene se puso en contacto con Grindr personalmente para alertarles del fallo de seguridad, pero dijo que no recibió respuesta de la compañía. Eso lo llevó a contactar con Troy Hunt, el creador de Have I Been Pwned, un sitio web que permite a la gente averiguar si su dirección de correo electrónico o contraseña ha sido comprometida.

Troy Hunt investigó la brecha pidiendo al investigador de seguridad Scott Helme que se registrara en una cuenta de Grindr. Como sugería la investigación de Bouimadaghene, Hunt pudo hacerse cargo de la cuenta de Helme y posteriormente pudo acceder a través de la aplicación. El impacto del hack de Grindr es "obviamente significativo". Escribiendo en su sitio web, Hunt dijo: "Esta es una de las técnicas más básicas de toma de cuentas que he visto... La facilidad de explotación es increíblemente baja y el impacto es obviamente significativo, así que claramente esto es algo que debe tomarse en serio".

Hunt también confirmó que Bouimadaghene compartió los resultados de su investigación con Grindr el 24 de septiembre. Un representante de apoyo de la empresa le dijo, según se informa, que el asunto se había "escalado" a los promotores y pasó a señalar el asunto como "resuelto". Al igual que Bouimadaghene, Hunt encontró varias dificultades para informar del asunto a Grindr - pero después de mucho trabajo, su informe finalmente llegó al equipo de seguridad y el fallo se arregló rápidamente.

El director de operaciones de Grindr, Rick Marini, le dijo a Tech Crunch: "Estamos agradecidos al investigador que identificó una vulnerabilidad. El problema reportado ha sido arreglado. Afortunadamente, creemos que hemos abordado el problema antes de que sea explotado por cualquier parte maliciosa. Como parte de nuestro compromiso de mejorar la seguridad de nuestro servicio, nos asociamos con una empresa líder en seguridad para simplificar y mejorar la capacidad de los investigadores de seguridad para informar sobre cuestiones como estas".

En 2018, la aplicación de citas se enfrentó a una reacción pública cuando se reveló que había estado compartiendo el estado del VIH de sus usuarios con empresas externas. Se descubrió que Grindr compartía la información con dos empresas privadas que "optimizan" las aplicaciones.

Noticias relacionadas