Encuentran fallo de seguridad que permite a cualquiera robar tu cuenta de Grindr
Nunca había sido tan peligroso el menú de «explorar código fuente de la página», hasta que alguien en Grindr expuso la información de millones.
Grindr es la aplicación de citas más popular de la comunidad LGBTQ+, un vivo ejemplo de la amplia gama de opciones de este tipo de apps.
Sin embargo, la realidad es que ni ésta ni ninguna de ellas se ha escapado de duras críticas por el uso de los datos de sus usuarios y el respeto a su privacidad.
Grindr comete un descuido fatal
Por desgracia, Grindr ha sido expuesta como una plataforma que encima de todo permitiría que se roben la cuenta de cualquier usuario de la manera más absurda posible: con solo hacer click derecho del mouse.
El investigador de seguridad digital francés Wassime Bouimadaghene encontró no hace mucho una serie de vulnerabilidades en Grindr, en las cuales detectó que cualquiera podía robar la cuenta de usuario de quien quisiera si era lo suficientemente rápido.
- Vea también: Vendida la red social Grindr
Para ello, básicamente solo era necesario conocer la cuenta de correo electrónico de la víctima, escribirlo en el apartado para recuperar contraseña, y una vez que se reciba la ventana de confirmación de envío del enlace para reestablecer el password, se le da un click derecho para explorar el código fuente del formulario. Allí, escondido entre todo, se situaba el token de acceso para validar el ingreso a la cuenta sin la contraseña original.
De este modo, sólo sería necesario copiar el token, pegarlo en la URL de ingreso de Grindr y listo. Luego de este proceso, se tendría acceso a la cuenta de la víctima y se podría cambiar la contraseña en el momento.
Lo más preocupante aquí es que Bouimadaghene le llegó a notificar a la gente de Grindr sobre este serio problema de seguridad. No obstante, fue ignorado hasta que editores de otras plataformas más occidentales como Have I Been Pwned y TechCrunch hicieron ruido sobre este riesgo.
La falla ya ha sido parchada por la app y ahora es imposible robar la contraseña con este método. La creencia es que nadie detectó el hueco antes de su arreglo. Sin embargo, no es 100% seguro.
Con información de FayerWayer.
