TecnoXplora » Apps

Apps

Un error en Grindr dejó la información de millones de usuarios a la vista de los hackers

Un usuario descubrió un problema que permitía a un hacker hacerse con las credenciales de acceso a la cuenta de cualquier usuario de la red social.

Grindr

Agencias Grindr

Publicidad

Lo hemos comentado en muchas ocasiones en estas mismas páginas y es que, en ocasiones, no basta con que nos tomemos en serio la seguridad en nuestros dispositivos y ordenadores ya que si la empresa que nos ofrece un servicio en internet, no es igual de meticulosa y exigente que nosotros, todo nuestro esfuerzo puede quedar en nada por culpa de una mala programación, o unas medidas de protección de datos deficiente.

Y eso es lo que parece haber ocurrido con Grindr, una red social de citas para ligar online, que ha visto comprometida la seguridad de todos los datos de las cuentas de quienes tienen alguna dada de alta en la plataforma. Además, se da la circunstancia de que, desde la app, no reaccionaron en un primer momento con la rotundidad que se podría esperar, ya que al recibir la primera advertencia sobre este error, su reacción fue la de borrar el mensaje del foro de soporte en el que lo habían publicado.

Wassime Bouimadaghene, el investigador de seguridad francés que dio la voz de alarma en la página de soporte de Grindr, optó después por compartirlo con otros expertos en cuestiones de ciberdelincuencia para intentar conseguir una mayor relevancia. Solo cuando uno de esas personas contactadas compartió el problema a través de su cuenta de Twitter, desde la app reaccionaron a la amenaza.

¿Cómo podrían robar las cuentas?

El problema de este agujero es que escapaba por completo de la acción del propio usuario, por lo que el hacker no necesitaba en ningún momento de su presencia para robarle las credenciales y acceder a su cuenta. El procedimiento era tan sencillo como pedir el restablecimiento de la contraseña, introducir una dirección de email válida y, a continuación, bucear por el código de la página web dentro del navegador para conseguir el llamado "tóken" de restablecimiento del password.

Error de Grindr en la consola de desarrollo del navegador.
Error de Grindr en la consola de desarrollo del navegador. | @troyhunt

Armados con la dirección de email, el tóken y la contraseña que los hackers habían restablecido, era posible ver los datos personales de los usuarios, su histórico de citas, información personal relevante, etc., así como secuestrarle la cuenta para ligar en su nombre. De tal forma que la víctima no volvía a tener acceso a la red social hasta que, a través de la propia Grindr, le restablecían sus credenciales para acceder de nuevo.

Aunque como os decimos parece que a la red social le costó en un primer momento tomarse en serio la amenaza, ha corrido a bloquearla para evitar males mayores y, de paso, ha dado su versión oficial en algunos medios afirmando que “agradecemos al investigador que identificó una vulnerabilidad. El problema informado se ha solucionado. Afortunadamente, creemos que abordamos el problema antes de que fuera explotado por partes malintencionadas". Como consecuencia de este incidente, Grindr ha desvelado que han iniciado una alianza "con una empresa de seguridad líder para simplificar y mejorar la capacidad de los investigadores de seguridad, para informar de problemas como estos". Y por si lo anterior fuera poco, se han animado y próximamente anunciarán "un nuevo programa de recompensas por errores para proporcionar incentivos adicionales para que los investigadores nos ayuden a mantener nuestro servicio seguro en el futuro”.

Publicidad