La aplicación de citas para la comunidad LGTBI Grindr ha solucionado un fallo de seguridad identificado en el procedimiento de recuperación de contraseñas que permitía a un tercero hacerse con el control de la cuenta de un usuario con el copia y pega de la clave de recuperación.
Todos tenemos derecho a utilizar aplicaciones de citas independientemente de la orientación sexual de cada individuo. Y sin lugar a dudas Grindr es un referente obligado para la comunidad gay.
La variedad y gama de opciones afortunadamente es tan amplia que existe una app diseñada prácticamente para cada tipo de perfil.
Pero la realidad es que ninguna de ellas se ha escapado de duras críticas por el uso de los datos de sus usuarios y el respeto a la privacidad de los mismos.
Grindr comete un descuido fatal
Por desgracia Grindr acaba de ser expuesta como una plataforma que encima de todo permitiría que se roben la cuenta de cualquiera de la manera más absurda posible: con un simple clic derecho del mouse.
El investigador de seguridad digital francés Wassime Bouimadaghene encontró no hace mucho una serie vulnerabilidad en Grindr. Donde cualquiera podía robar la cuenta de usuario de quien quisiera si era lo suficientemente rápido.
Básicamente sólo era necesario conocer la cuenta de correo electrónico de la víctima, escribirlo en el apartado para recuperar contraseña, y al momento de recibir la ventana de confirmación de envío del enlace para reestablecer el password dar un clic derecho para explorar el código fuente del formulario.
Ahí, escondido entre todo, estaba el token de acceso para validar el ingreso a la cuenta sin la clave original.
De modo que sólo sería necesario copia el token, pegarlo en la URL de ingreso de Grindr y listo. Con ello se tenía acceso a la cuenta de la víctima y se podía cambiar la contraseña al momento.
El punto preocupante aquí es que Bouimadaghene notificó a la gente de Grindr sobre este serio problema de seguridad.
Pero en realidad fue ignorado hasta que editores de otras plataformas más occidentales como Have I Been Pwned y TechCrunch hicieron ruido sobre el riesgo.
La falla ha sido ya parchada y es imposible robar la contraseña con este método. La creencia es que nadie encontró el hueco antes de su arreglo.
Pero no es 100% seguro.
CREDITOS PARA: FAYERWAYER
The dating application for the LGTBI community Grindr has solved a security flaw identified in the password recovery procedure that allowed a third party to take control of a user's account by copying and pasting the recovery key.
Everyone has the right to use dating applications regardless of their sexual orientation. And without a doubt Grindr is a must for the gay community.
The variety and range of options is fortunately so wide that there is an app designed for practically every type of profile.
But the reality is that none of them has escaped harsh criticism for the use of their users' data and respect for their privacy.
Grindr commits a fatal oversight
Unfortunately Grindr has just been exposed as a platform that on top of everything else would allow anyone's account to be stolen in the most absurd way possible: with a simple right click of the mouse.
The French digital security researcher Wassime Bouimadaghene recently found a series of vulnerabilities in Grindr. Where anyone could steal anyone's user account if they were quick enough.
Basically all you needed to do was know the victim's e-mail account, type it in the section to recover the password, and when you received the confirmation window to send the link to reset the password, right-click to explore the source code of the form.
There, hidden among everything, was the access token to validate the login to the account without the original key.
So you would only need to copy the token, paste it into the Grindr login URL and you're done. This gave access to the victim's account and the password could be changed instantly.
The worrying point here is that Bouimadaghene notified Grindr's people about this serious security problem.
But it was actually ignored until editors from other, more western platforms such as Have I Been Pwned and TechCrunch made noise about the risk.
The flaw has now been patched and it is impossible to steal the password with this method. The belief is that no one found the hole before it was fixed.
But it is not 100% secure.
