Un fallo en Grindr permite hacerse con el control de una cuenta con un copia y pega

La aplicación de citas para la comunidad LGTBI Grindr ha solucionado un fallo de seguridad identificado en el procedimiento de recuperación de contraseñas que permitía a un tercero hacerse con el control de la cuenta de un usuario con el copia y pega de la clave de recuperación.

El fallo de seguridad en cuestión, descrito como crítico por los investigadores, reside en el mecanismo de recuperación de contraseña que utiliza la aplicación. Al introducir solamente la dirección de correo electrónico asociada a una cuenta de Grindr, este sistema envía al correo electrónico un 'token' de reseteo en el que se incluye la clave de restauración. El fallo se encuentra en que también lo muestra en el navegador y, como se ha descubierto, incluye el email de la cuenta.

Utilizando esta 'clave' y simplemente pegándola en la URL, el mecanismo permite cambiar la contraseña de la cuenta. Al establecer una nueva, un usuario no autorizado puede hacerse con su control y acceder a los datos personales -imágenes y chats, entre otros- y a los contactos del usuario en la 'app' de citas.

En resumen, por esta vulnerabilidad, cualquier persona con conocimiento del email asociado a una cuenta de Grindr podía hacerse con el control de la misma, según ha informado el investigador de ciberseguridad Troy Hunt en su página web, alertado a su vez por el experto Wassime Bouimadaghene.

Hunt y Bouimadaghene pusieron la vulnerabilidad en conocimiento de los desarrolladores de Grindr, que procedieron a solucionarla antes de ser explotada por cibercriminales, como ha asegurado el propietario del servicio.

Además, la compañía se ha comprometido a crear un programa de recompensas para quienes descubran fallos de seguridad en su plataforma en el futuro y así mejorar su protección.

No es la primera vez que Grindr sufre problemas de seguridad y protección de datos, ya que en 2018 se dio a conocer que la compañía compartía con empresas externas datos personales de sus usuarios, como si estos tenían VIH o la fecha en la que realizaron los tests de la enfermedad por última vez.