Un error en Grindr te permite tomar el control de una cuenta con solo copiar y pegar

Un error en Grindr te permite tomar el control de una cuenta con solo copiar y pegar

octubre 7, 2020 0 Por RenzoC

ESPAPELIS


La aplicación de citas para la comunidad LGTBI Grindr ha solucionado una falla de seguridad identificada en el procedimiento de recuperación de contraseña que permitía a un tercero tomar el control de la cuenta de un usuario con copiar y pegar la clave de recuperación.

La falla de seguridad en cuestión, descrita como crítica por los investigadores, radica en el mecanismo de recuperación de contraseña utilizado por la aplicación.

Al ingresar solo la dirección de correo electrónico asociada con una cuenta de Grindr, este sistema envía un ‘token’ de restablecimiento al correo electrónico, incluida la clave de restablecimiento. La falla es que también lo muestra en el navegador y, como se ha descubierto, incluye el correo electrónico de la cuenta.

Usando esta ‘clave’ y simplemente pegándola en la URL, el mecanismo permite cambiar la contraseña de la cuenta. Al establecer uno nuevo, un usuario no autorizado puede tomar el control de él y acceder a datos personales (imágenes y chats, entre otros) y los contactos del usuario en la ‘aplicación’ de citas.

En resumen, debido a esta vulnerabilidad, Cualquiera con conocimiento del correo electrónico asociado con una cuenta de Grindr podría obtener el control del mismo, según informó el investigador de ciberseguridad Troy Hunt en su sitio web., alertado a su vez por el experto Wassime Bouimadaghene.

Hunt y Bouimadaghene dieron a conocer la vulnerabilidad a los desarrolladores de Grindr, quienes procedieron a solucionarla antes de ser explotados por los ciberdelincuentes, según ha asegurado el propietario del servicio.

Además, la compañía se ha comprometido a crear un programa de recompensas para quienes descubran fallas de seguridad en su plataforma en el futuro y así mejorar su protección.

No es la primera vez que Grindr sufre problemas de seguridad y protección de datos, ya que en 2018 se anunció que la compañía compartió con empresas externas datos personales de sus usuarios, como si tenían VIH o la fecha en la que realizaron la enfermedad. pruebas por última vez.





Source link