O aplicativo de relacionamentos
voltado a ao público LGBTQI+ Grindr
tinha uma falha gravíssima de segurança, que permitia que qualquer um pudesse roubar uma conta sabendo apenas o endereço de e-mail de suas vítimas.
A falha em questão não dependia sequer de muito conhecimento técnico. Bastava incluir o endereço de e-mail para fazer o processo de resetar a senha. Normalmente, um link é enviado para a caixa de entrada do usuário para que ele faça o processo de criar uma nova senha. No entanto, bastava analisar o código-fonte da página, e o link era acessível por lá, dispensando a necessidade de acessar o e-mail para trocar a palavra-chave.
A partir daí, alguém com más intenções poderia trocar a senha de qualquer conta e tomar o controle total do perfil. A vulnerabilidade em questão se torna ainda mais grave diante da sensibilidade das informações com as quais o Grindr lida.
Você viu?
Apps de relacionamentos já contam com muitas informações pessoais, e o cibercriminoso poderia acessar dados como mensagens e imagens, abrindo espaço para golpes ou simplesmente chantagens.
Troy Hunt, um dos especialistas que revelou a falha, afirmou que se trata de "uma das técnicas de roubo de contas mais básicas" que ele já viu.
Por sorte do Grindr , a vulnerabilidade foi descoberta por pesquisadores de segurança antes de cair na mão do cibercrime . Eles alertaram o Grindr sobre o problema, e o app diz ter corrigido a brecha antes que alguém pudesse tirar proveito dela com intenções nefastas.
“Somos gratos ao pesquisador que identificou a vulnerabilidade. O problema foi corrigido”, diz o comunicado da empresa ao site TechCrunch.
Hoje o Grindr tem cerca de 27 milhões de usuários pelo mundo, com 3 milhões de pessoas o utilizando todos os dias. O app pertence a uma empresa americana, chamada San Vicente Acquisition LLC, após ser vendido pela companhia chinesa Beijing Kunlun, sob acusações de que o controle por uma empresa do país asiático seria uma ameaça à segurança nacional dos EUA.