La vulnerabilità di Grindr ha consentito agli hacker di reimpostare le password degli account e di rilevare gli account

Una significativa vulnerabilità di Grindr è stata scoperta a settembre 2020. Il problema di sicurezza ha consentito ai malintenzionati di assumere il controllo dell'account Grind di un utente se semplicemente conoscevano l'indirizzo e-mail dell'utente.

Il social network per adulti ha avuto un problema molto significativo con la sicurezza . Un hacker aveva bisogno solo dell'indirizzo e-mail di un utente per aprire un account. Inserendo l'e-mail nella pagina "Trova il tuo account" del servizio - l'equivalente di un modulo "Ho dimenticato la mia password", ha fatto apparire un modulo Captcha di controllo bot, quindi ha mostrato un messaggio che era stato un messaggio di posta elettronica per reimpostare la password inviato. Tuttavia, aprendo gli strumenti di sviluppo del browser, una semplice pressione di un tasto in Chrome, ha fatto apparire il token di reimpostazione della password di Grindr interno, proprio lì, nel codice della pagina.

Avere l'indirizzo e-mail dell'utente combinato con il token di reimpostazione della password era sufficiente per consentire agli attori malintenzionati di accedere alla richiesta di password effettiva che è collegata nell'e-mail inviata dal servizio. Da questo momento in poi, cambiare la password e acquisire l'account è un gioco da ragazzi.

L'accesso all'account violato utilizzando la password appena creata ha fatto apparire un pop-up che diceva all'utente di confermare l'accesso tramite l'app mobile. Se pensi che questa sia una verifica a due fattori collegata al tuo numero di telefono, non lo è. Il ricercatore di sicurezza Troy Hunt, che ha condotto questo piccolo esperimento in stile white hat e ha esposto la vulnerabilità con l'assistenza di un paio di suoi colleghi, ha semplicemente effettuato l'accesso all'account appena dirottato dal proprio cellulare, utilizzando la password appena modificata e l'e-mail indirizzo e basta: il racconto doveva occuparsene a suo piacimento.

Hunt ha effettivamente affermato che la vulnerabilità era tra le "tecniche di acquisizione dell'account più basilari" che avesse mai incontrato nei suoi anni di lavoro. Per fortuna, dopo alcuni ostacoli iniziali nel contattare i rappresentanti di Grindr su Twitter e creare un po 'di scalpore con un tweet pubblico sulla vulnerabilità, Hunt è riuscito a mettersi in contatto con il team di sicurezza della piattaforma. Da allora la vulnerabilità è stata risolta dagli sviluppatori di Grindr.

Grindr interviene con una soluzione

I rappresentanti di Grindr hanno affermato che il problema è stato scoperto e risolto prima che qualsiasi cattivo attore fosse in grado di abusarne. La piattaforma social ha inoltre annunciato i suoi piani per lanciare un nuovo programma di taglie per la caccia agli insetti nel prossimo futuro.

Questo incidente mostra che a volte, non importa quanto sia sicura la tua password e non importa quanto tu sia investito nella tua sicurezza informatica personale, a volte il destino delle tue informazioni e dei tuoi account semplicemente non è nelle tue mani e puoi fare poco su un vettore di attacco simile a quello scoperto con la vulnerabilità di Grindr.

Naturalmente, questo non significa che dovresti essere negligente o disattento. In attacchi simili che non coinvolgono in alcun modo l'utente, la soluzione migliore è utilizzare l'autenticazione a due fattori di una piattaforma e proteggere il tuo account con essa non appena diventa disponibile, se non lo è già.